为什么安全要用到大数据?

3

为什么安全要用到大数据?在以往,无论是特征码也好,规则库也好,人们都是从威胁本身出发来制作检测方案。这一阶段要求的是对病毒和威胁的了解,反向工程远比大数据技术重要。随着病毒木马越出越快,免查杀几乎成为标配而且已经可以自动化生产后,传统的防御手段越来越跟不上节奏了。从最近这两年RSA大会和Blackhat大会的情况来看,采用基于行为的分析来侦测高级威胁已经是业界共识。

那么问题来了,要想分析行为你得先搜集行为吧。行为是什么?就是用户和应用的各种足迹。好了,问题就变成如何有效的搜集这些各种各样的足迹以及怎么有效的分析它们。以前安全产业最大的数据量挑战是分析和还原网络流量(想想Palo Alto Networks的发家史),而现在基本上捡到篮子里都是菜,数据量可想而知。因此,大数据技术是必要的支撑手段。

总体来说,大数据安全分析 (Big Data Security Analytics) 工作可以分三步走:

尽最大可能收集和关联各种来源的数据是扩展企业安全视角的第一步,这一阶段Splunk是个不错的标竿。

基于行为的分析是安全智能的第二步。这里比较难的是与业务结合确认最重要的资产。可能是个人认证信息,知识产权,内部电子邮件等。

最后一步则是“基于角色”的分析来了解潜在攻击者的可能做法,包括以下一些方面:

攻击者角度
- 我会从谁那里获得访问有价值数据或者系统的方法?
- 我会用什么方式偷偷散播恶意软件(僵尸木马蠕虫)?
- 我如何保证c&c(远程控制)通道不被发现?
- 我应该对主机作哪些修改以保证恶意软件长期运行?是个不错的标竿。

防御者角度
- 在邮件泄露或者个人信息对外传输的事件中,我的机器数据的异常状况会怎样表现?
- 主机上的哪些网络服务应当被监控?
- 恶意软件的哪些行为可以在日志中根据不同时间周期的表现或者位置的变化来判断?

最后补充一句,短期内采用大数据手段侦测新型威胁,是采用传统方案侦测已知威胁的有效补充。

作者:瀚思


安全牛

1评

忘记密码