現在,很多行業都開始利用大數據來增加銷量,降低成本,精準營銷。但是,其實大數據在網絡安全、信息安全方面也有很大的應用。特別是,使用大數據來識別和發現風險和漏洞。
通過大數據,人們可以分析大量潛在的安全事件,找出它們之間的聯系,勾勒出壹個完整的安全威脅。通過大數據,可以整合分散的數據,使安全人員能夠采取更加主動的安全防禦措施。
今天,網絡環境極其復雜。APT攻擊和其他網絡攻擊可以通過搜索和分析來自不同數據源的數據來識別安全威脅。為此,需要監控壹系列數據源,包括DNS數據、命令和控制(C2)、黑白名單等等。以便將這些數據關聯起來,從而做出錯誤判斷。
針對安全性的企業大數據分析以下是壹些要點:
DNS數據
DNS數據可以提供壹系列新註冊的域名、經常用來發送垃圾郵件的域名、新創建的域名等。所有這些信息都可以和黑白名單結合起來,所有這些數據都要收集起來做進壹步的分析。
如果妳有自己的DNS服務器,妳可以檢查那些外部域名查詢,這樣妳可能會發現壹些無法解析的域名。這可能意味著妳檢測到了壹個“域名生成算法”。這些信息有助於安全團隊保護公司網絡。而如果對局域網流量數據日誌進行分析,就有可能找到對應的被攻擊機器。
指揮與控制(C2)系統
結合命令和控制數據可以得到IP地址和域名的黑名單。對於企業網絡,網絡流量不應流向那些已知的命令和控制系統。如果網絡安全人員想要仔細調查網絡攻擊,他們可以將C2系統的流量定向到該公司設置的“蜜罐”機器。
安全威脅信息
有壹些類似於網絡信譽的數據源可用於確定地址是否安全。壹些數據源提供“是”和“否”的判斷,而其他數據源也提供壹些關於威脅級別的信息。網絡安全人員可以根據他們可以接受的風險來決定是否應該訪問某個地址。
網絡流量日誌
許多供應商提供記錄網絡流量日誌的工具。在使用流量日誌分析安全威脅時,人們很容易淹沒在大量的“噪音”數據中。但是,流量日誌仍然是安全分析的基本要求。有壹些好的算法和軟件可以幫助人們提供分析質量。
“蜜罐”數據
蜜罐可以有效地檢測特定網絡的惡意軟件。此外,通過蜜罐獲取的惡意軟件可以通過分析獲取其特征碼,從而進壹步監控網絡中其他設備的感染情況。這類信息非常有價值,尤其是很多APT攻擊中使用的定制化惡意代碼,是常規殺毒軟件無法發現的。企業設立“蜜罐”的五個原因見本網站文章
數據質量非常重要。
最後,企業要註意數據的質量。市場上有大量的數據可用,這些數據的質量和準確性是安全人員進行大數據安全分析時最重要的考慮因素。因此,企業需要壹個內部數據評估團隊來詢問關於數據源的相應問題,比如:最新的數據是什麽時候添加的?有沒有樣本數據進行評估?每天能加多少數據?這些數據中哪些是免費的?數據收集了多長時間?等壹下。
安全事故和數據泄露的新聞幾乎每天都能見諸報端。即使企業已經開始采取措施防禦APT,傳統的安全防禦措施對APT的攻擊方式似乎也很少。有了大數據,企業可以采取更加主動的防禦措施,大大提升了安全防禦的深度和廣度。