互聯網的放大效應使公眾的容忍度越來越低,尤其是信息安全事件的影響,讓銀行面臨的聲譽風險壓力倍增。不容樂觀的是,在數據大集中已經成為潮流的今天,信息安全風險也在急劇集中,銀行重要客戶的數據一旦被不法分子利用,產生身份冒充、釣魚詐騙等違法事件將極難防范。如何既守住信息安全底線,又保障業務健康發展,是擺在眾多銀行面前的一道難題。
這也是為什么在銀行的IT基礎設施里幾乎看到安全產品的“全家福”的原因,各種防火墻、WAF、IDS、IPS、DLP應接不暇。但在這樣的情況下,依然沒能避免數據泄露、釣魚欺詐的事件發生。讓人不禁要問,銀行信息安全防護之路在何方?
弄清楚這個問題,就要從這些傳統的檢測機制上尋找原因。可以說,傳統的防御機制都是在犧牲了無數“小白鼠”之后,對這些已知的攻擊特征做的針對性防護機制,但相信哪個黑客也不會傻到用路人皆知的攻擊手段,冒著被全球追捕的危險去打銀行的主意。
大數據技術的出現能否力挽狂瀾?
在攻擊者與防御者一直處于道高一尺魔高一丈的狀態下,SIEM/SOC的產品出現了,其建立在早期的日志管理之上,更多的關注日志采集后的分析、審計并發現問題,將日志分析的功效發揮出來。這給安全防護工作帶來了新的思路,畢竟攻擊者在每個環節下都會雁過留痕,通過數據分析,如果真的能把隱匿在數據海洋中的攻擊者或者潛在攻擊者“揪”出來,那么攻擊方在暗處,防守方在明處的不利局面將被徹底扭轉。
但往往事實總是與愿違,受限于技術約束,傳統的安全分析大都僅針對樣本數據進行分析,并將分析結果推論到剩余的數據集合上。而隨著高級威脅和欺詐行為的不斷進化,越來越需要對全量數據,甚至是相關的情境數據進行分析。并且當銀行每天的數據量高達TB級時,SIEM/SOC的瓶頸出現了,龐大的數據量和多樣性迅速成為“駱駝背上的稻草”,并且會產生很多誤報。
大數據開始一度成為熱詞,這也讓銀行業嘗到了甜頭。利用大數據分析不僅可以挖掘客戶的消費習慣做精準營銷,還可以在安全防護能力上更上一層樓。借助大數據安全分析技術,能夠更好地解決天量安全要素信息的采集、存儲的問題。
不過這似乎與傳統數據分析除了在數據處理能力上,其他差異并不是那么直觀。畢竟信息安全十多年來一直在利用網絡流量、系統日志和其它信息源的分析甄別威脅,檢測惡意活動,而這些傳統方式跟大數據有何不同還是不太清晰,如果大數據安全分析僅是這樣,那么想在安全領域力挽狂瀾顯然是不夠的。
如何做好大數據安全分析
其實不然,在一個較為完備的基于大數據安全分析的解決方案中,通常會有一個大數據安全分析平臺作為整個方案的核心部件,承載大數據分析的核心功能,將所有分散的安全要素信息進行集中、存儲、分析、可視化,對分析的結果進行分發。
注意,是所有的安全要素,而并非僅僅是安全設備,無論是終端的、主機的、應用的、網絡設備的、安全設備的,還是第三方云上的,通過收集這些全量數據進行統一的存儲、分析和展現,從而發現里面的異常行為,并進一步找到未知的安全威脅。這種思路常見于美國FireEye、Phantom Cyber等公司的解決方案,當然也包括中國的HanSight。
做大數據分析,數據質量也非常關鍵,如果提供分析的數據本身就有問題或者錯誤,那么分析結果必然有問題。具體來說,如果IT人員僅針對海量日志進行分析,可能由于攻擊者將關鍵日志抹除,或者故意摻入假日志,反而會讓基于日志的大數據安全分析誤導。這時,IT人員很強調對原始網絡流量的分析,將這些流量轉換為元數據,然后進行大數據分析,配合日志分析,效果更佳。
能夠更加智能地洞悉信息也是大數據安全分析的優勢之一。以銀行業為例,黑客通過一些手段偽裝成真實合法的用戶進行資金劃轉,但上一筆記錄是北京,而五分鐘之后的記錄發生在廣州,這對于銀行系統來說,只要是合法用戶的操作,就不會干預。但顯然在五分鐘的時間里除了超人,沒人能做到從北京直接到廣州。通過用戶異常行為的安全分析引擎,便會將這種違約交易進行阻擋,防患于未然。
對于黑客攻擊網銀系統經常使用的“低頻暴力破解”手法,大數據安全分析也帶來了奇效。所謂低頻暴力破解就是利用手機銀行在后臺服務端可以多次密碼試錯的情況下,不停的撞庫進行破解。而利用大數據安全分析便對這些仿制的原始IP查封,加入到黑名單。
不僅如此,大數據安全分析的發展還將改變傳統的網絡安全防護架構、安全分析體系,并深刻變革現有的網絡安全業務模式。包括SIEM、日志分析、欺詐檢測、威脅情報在內的多種服務都在積極擁抱大數據安全分析技術。大數據安全分析已成為安全業務模式變革的催化劑。而也正是如HanSight這樣的團隊努力下,讓大數據安全分析開始嶄露頭角,使銀行安全防護的道路逐漸明朗了起來。