快速發展的互聯網技術不斷地改變人們的生活方式,然而,多層面的安全威脅和安全風險也不斷出現。對於壹個大型網絡,在網絡安全層面,除了訪問控制、入侵檢測、身份識別等基礎技術手段,需要安全運維和管理人員能夠及時感知網絡中的異常事件與整體安全態勢。
對於安全運維人員來說,如何從成千上萬的安全事件和日誌中找到最有價值、最需要處理和解決的安全問題,從而保障網絡的安全狀態,是他們最關心也是最需要解決的問題。與此同時,對於安全管理者和高層管理者而言,如何描述當前網絡安全的整體狀況,如何預測和判斷風險發展的趨勢,如何指導下壹步安全建設與規劃,則是壹道持久的難題。
大數據給信息安全帶來的最大改變是通過自動化分析處理與深度挖掘,將之前很多時候亡羊補牢式的事中、事後處理,轉向事前自動評估預測、應急處理,讓安全防護主動起來。大數據對安全廠商而言,意味著海量日誌、黑客攻擊更加隱蔽,同時也是安全技術水平提升的有效手段。
當然,在大數據給企業帶來的風險和機遇同時,大數據也給信息安全發展帶來了新的機遇和挑戰。因為網絡攻擊或非法泄露信息的行為或多或少總會留下蛛絲馬跡,這些痕跡都以數據的形式隱藏在大數據中。企業可以通過對大量網絡攻擊事件的分析,找出潛在的風險點,從而制定更好的預防攻擊、防止信息泄露的策略。但是這有壹個前提,那就是必須保證進行網絡攻擊事件分析所依據的信息是準確的、可靠的,如果原始數據即已遭到非法篡改,那數據分析則會被誤導,這將使企業陷入更加糟糕的境地。這說明基於大數據的信息安全發展也是要以信息安全本身為基礎的。
企業IT管理人員壹定不會對以下這個場景感到陌生:壹名員工在集團上海分公司刷卡進入公司內部,五分鐘後後臺系統顯示該員工在北京分公司登錄企業OA系統。孤立地看,這兩件事都不屬於安全事故,但如果將它們聯系起來,IT人員就會立刻意識到問題的嚴重性,壹個人怎麽能在五分鐘內從上海飛到北京?企業信息正面臨泄露風險。
如果集團的IT系統復雜,各地分公司每天產生的日誌數量繁多,並且不能集中管理,類似的安全威脅就可能淹沒在幾十萬條安全日誌裏。現在,借用大數據分析,SIEM(安全信息和事件管理)正在讓這些安全隱患無所遁形。
“大數據給信息安全防護帶來的最大改變就是我們通過自動化分析處理與深度挖掘相結合,可以將之前很多時候亡羊補牢式的事中、事後處理,轉向事前自動評估預測、應急處理,讓安全防護真正可以主動起來。”某專業人士認為,安全廠商應該利用這種趨勢,讓自身的產品方案和大數據分析相結合,形成從數據收集分析到安全管理策略下發,再到效果評估的壹整套安全解決方案,從而完成從銷售相對孤立產品到真正解決方案式的模式轉變。
網絡安全感知能力具體可分為資產感知、脆弱性感知、安全事件感知和異常行為感知4個方面。資產感知是指自動化快速發現和收集大規模網絡資產的分布情況、更新情況、屬性等信息;脆弱性感知則包括3個層面的脆弱性感知能力:不可見、可見、可利用;安全事件感知是指能夠確定安全事件發生的時間、地點、人物、起因、經過和結果;異常行為感知是指通過異常行為判定風險,以彌補對不可見脆弱性、未知安全事件發現的不足,主要面向的是感知未知的攻擊。
大數據在信息安全領域的應用包括宏觀上的網絡安全態勢感知和微觀上的發現安全威脅,尤其是APT攻擊上。壹些企業認為應該加強對大數據本身的隱私保護,有人卻認為完全沒有必要,“大數據是價值低密度的數據,安全廠商沒有必要保護大數據的安全,而是應該利用大數據分析來發現更多安全威脅,這是安全廠商難得的機會”。在他看來,大數據分析的技術難度並不大,安全廠商也可以通過購買或合作獲得,“重要的是分析的邏輯,包括查詢條件、查詢時間的起止點等,這些考驗的還是安全廠商的傳統思維”。