像其他企業一樣,Zions銀行過去一直在處理增長的網絡威脅,已經到了“安全設備疲勞”狀態。因為隨著每一個新威脅的出現,廠商都要推出一個新的設備。
該銀行有一噸的安全數據,包括Windows和IDS日志,但卻很難利用這些數據進行安全分析。有兩個安全信息和事件管理(SIEM)系統幫助進行日志分析,但現有技術已經到極限,Zions靠它們來實現其數據驅動型安全策略的目標似乎不太可能。
對該銀行控股公司來說,解決方案就是利用信息安全中最熱門的一個概念,即大數據。再具體來說,它通過開發一個基于Hadoop的安全數據倉庫管理來自不同安全數據源的信息。
“大數據不完全是炒作......我們認為它將是行業的游戲變革者(game changer),”Zinos的首席安全官Preston Wood在周四的2012年RSA大會主題演講上這樣說道。
Wood表示,利用安全大數據的策略可使他們公司跨整個企業進行數據挖掘,加快取證調查并提高欺詐偵測,以及整體安全性。
該倉庫允許Zions將多個位置的數據匯集到一起,并將重要數據保存幾年,這對安全建模來說非常有益,欺詐管理主任Michael Fowkes說道。倉庫存儲了120多個不同類型的數據,包括交易日志,日志, 欺詐警報, 服務器日志,防火墻日志和IDS日志。經過兩年的數據收集,目前它存儲了120TB的數據。
Zions使用了一層分析工具,包括商業和定制,而分析師則進行數據挖掘。“為了從數據中獲得價值,”Fowkes說道,“顯然我們需要人”去挖掘數據。
Zions的數據科學家Aaron Caldero表示,他的立場代表了一個新興領域,涉及到運用統計方法去過濾和挖掘數據。他將該過程描述為一個看待數據安全的不同方式,是主動的而非被動的安全。
“作為一個數據偵探,我覺得像福爾摩斯,”他說道。
Fowkes說,對取證來說,大數據策略帶來的最大好處就是已經加快了速度。過去,事件響應涉及到一個非常耗時的過程——審查大量的日志文件。“而擁有了基于Hadoop的安全數據倉庫,就像是具有分布式檢索,”他補充道。
Zions的信息安全總監Kelly White表示,大數據策略已幫助公司提高了威脅建模。例如,安全分析師團隊已經確定了魚叉式網絡釣魚攻擊的跡象,但將那些數據與統計方法相結合起來后,銀行確定潛在攻擊的能力提高了。
由惡意軟件推動的帳戶接管對金融公司而言,是一個主要的安全問題,Fowkes說道,但通過其大數據策略所提供的情報,Zions可以迅速對來自各種源頭的惡意軟件威脅作出響應并對抗它們。
Wood表示,未來銀行會想利用分析和智能實現自動應答。
對一些企業來說,實施類似的系統可能讓人生畏,Wood告訴與會者,他們中的許多人可能具有數據驅動型安全分析所需要的技能。與其依賴于安全產品和它們所產生的報告,Wood建議安全團隊“要仔細看看你的數據,并自己獲得情報。”
大數據安全策略不是一個你可以買到的產品,Wood解釋道。企業開始可以一點一點來,并充分利用自己的工具,可以探討商業智能或開源工具。
“將大數據作為一個旅程,而不是目的地。”他說道。
京公網安備 11010502049343號