互聯網技術的快速發展不斷改變著人們的生活方式,然而,多層次的安全威脅和安全隱患也隨之出現。對於壹個大型網絡來說,在網絡安全方面,除了訪問控制、入侵檢測、身份識別等基本技術手段外,安全運維管理人員還需要能夠及時感知網絡中的異常事件和整體安全狀況。
對於安全運維人員來說,如何從成千上萬的安全事件和日誌中找到最有價值的需要處理和解決的安全問題,從而保證網絡的安全狀態,是他們最關心和需要解決的問題。同時,對於安全管理者和高級管理者來說,如何描述當前網絡安全的整體狀況,如何預測和判斷風險發展的趨勢,如何指導下壹步的安全建設和規劃,是壹個持久的問題。
大數據給信息安全帶來的最大變化是,通過自動分析和深度挖掘,把以前的事中、事後處理,變成事前自動評估預測和應急處理,讓安全防護掌握主動。對於安全廠商來說,大數據意味著海量日誌和黑客攻擊更加隱蔽,也是提升安全技術水平的有效手段。
當然,大數據在給企業帶來風險和機遇的同時,也給信息安全的發展帶來了新的機遇和挑戰。因為網絡攻擊或者非法泄露信息總會留下蛛絲馬跡,以數據的形式隱藏在大數據中。企業可以通過對大量網絡攻擊的分析,找出潛在的風險點,從而制定更好的策略,防止攻擊和信息泄露。但有壹個前提,就是我們必須保證分析網絡攻擊所依據的信息是準確可靠的。如果原始數據被非法篡改,數據分析就會被誤導,使企業陷入更糟糕的境地。這說明基於大數據的信息安全發展也是基於信息安全本身。
企業IT管理者對以下場景不會陌生:某員工在集團上海分公司刷卡進入公司,五分鐘後,後臺系統顯示該員工登錄了北京分公司的企業OA系統。孤立來看,這兩起事件都不算安全事故,但如果聯系起來,IT人員馬上就會意識到問題的嚴重性。壹個人如何在五分鐘內從上海飛到北京?企業信息面臨泄露的風險。
如果集團的IT系統比較復雜,各地分公司產生的日常日誌數量眾多,無法集中管理,類似的安全威脅可能會淹沒在幾十萬條安全日誌中。現在,在大數據分析的幫助下,SIEM(安全信息和事件管理)正在使這些安全風險變得不可見。
“大數據給信息安全防護帶來的最大變化是,通過自動分析處理和深度挖掘相結合,可以把事前事後已經修復的東西變成事前自動評估預測和應急處理,讓安全防護真正掌握主動。”壹位專業人士認為,安全廠商應該利用這壹趨勢,將自身的產品解決方案與大數據分析相結合,形成從數據收集分析到安全管理策略分發,再到效果評估的壹整套安全解決方案,從而完成從銷售相對孤立的產品到真正解決方案的模式轉變。
網絡安全意識可以分為四個方面:資產意識、漏洞意識、安全事件意識和異常行為意識。資產感知是指自動快速地發現和收集大規模網絡資產的分布、更新、屬性等信息;脆弱性感知包括三個層次的脆弱性感知能力:不可見、可見、可用;安全事件意識是指能夠確定安全事件發生的時間、地點、人員、原因、過程和結果;異常行為感知是指通過異常行為來判斷風險,以彌補隱形漏洞和未知安全事件的不足,主要用於感知未知攻擊。
大數據在信息安全領域的應用包括宏觀的網絡安全態勢感知和微觀的安全威脅發現,尤其是APT攻擊。有企業認為大數據本身的隱私保護應該加強,也有企業認為完全沒有必要。“大數據是低價值、低密度的數據。安全廠商不需要保護大數據的安全,而應該利用大數據分析發現更多的安全威脅,這對安全廠商來說是壹個難得的機會。”在他看來,大數據分析的技術難度並不大,安全廠商也可以通過購買或合作的方式獲得。“重要的是分析的邏輯,包括查詢條件、查詢時間的起止點等。這些測試還是安全廠商的傳統思維。”