大數據給我們在對抗入侵方面帶來新希望,覬覦敏感信息的攻擊者們變得更容易落網。
“大數據”領域的安全體系具備這樣一種特點:只要企業能夠將自身與安全相關的事件數據與業務信息倉庫相結合,就完全可以通過對大數據的分析揪出那些試圖盜取敏感信息的入侵者。
從安全角度來說,我們當然希望大數據能夠在大型數據資源庫的日益普及之下,取得更加輝煌的發展態勢;而這一切就當前來看主要依靠開源可擴展軟件Hadoop在企業中的采用情況。隨著大數據的人氣一路走高,隨之伴生的一種全新工作崗位也在與Hadoop相關的IT領域衍生出來,這就是“數據科學家”。與傳統的安全專家與分析師有所不同,以大數據為主要關注對象的數據科學家們所關心的是如何利用工具及知識保障信息安全,并保證隱匿入侵者遠離那些高度敏感的數據。
事實告訴我們,在廣闊無垠的網絡世界中追蹤惡意攻擊者可謂大海撈針,而“大數據”的出現則讓情況有了一些轉機。不過事情真有這么美好嗎?
來自企業管理聯合會的資深分析師Scott Crawford對此充滿信心。“網絡數據分析師們能夠發現異常情況,但無法將這些異常與安全保障機制聯系起來,”他在最近于舊金山舉行的RSA大會上,在大數據與安全輔助作用主題發言中表達了以上意見。
根據Crawford的預測,大數據領域將最終出現“針對安全算法的新市場”。他指出,像Red Lambda以及Palantir這樣的企業目前已經在通過數學分析對異常情況進行定位及診斷。
那些“惡意”攻擊者一直在努力將異常狀況隱藏起來,讓網絡中的用戶在看似“正常”的流程中身受其害,而躲在正常背后的陰暗面才是他們的真正目的。現在,隱匿攻擊者已經能夠避開大部分傳統防御機制,例如入侵防御系統、防火墻以及反病毒防御等手段,Gartner公司分析師Neil MacDonald在RSA大會上的相關版塊中做出這樣的提醒。
這些攻擊滲透及竊取高度敏感數據的行為勢必帶來毀滅性的嚴重后果,此類手段有時也被稱為先進持續性威脅(簡稱APT)。從這一方向出發,惡意人士將能夠有效地隱藏自己在網絡中所實施的邪惡計劃。MacDonal還認為,時至今日,我們已經很難根據表面情況判斷出哪些網絡行為屬于“好的”,而哪些算是“壞的”。“我們必須深入了解正面行為的真正特征”,以切實掌握“與正面行為不符的諸多差異”,他指出。
大數據的出現為安全性分析工作提供了新的可行性,這也許意味著目前所通用的大部分安全工具,例如安全信息與事件管理(簡稱SIEM)等,很可能已經無法滿足新趨勢的要求。分析師們認為,現在我們亟需一場變革。
MacDonald告訴我們,以上觀點絕不是危言聳聽,其中的某些表述現在已經初見端倪,而RSA大會威脅檢測產品NetWitness以及惠普出品的ArcSight SIM等等都開始在這些方面做出改變。包括CrowdStrike公司在內的諸多新興企業甚至明確表示,他們會以新的方式應對令人頭痛的APT問題。
然而,SIEM類產品的演變真的能為與業務相關的大數據帶來可靠的保障嗎?而將重要的業務數據從一系列防火墻、服務器、IPS等能夠提供有意義反饋的設施中提取出來,添加進更為傳統的SIEM數據中去,這樣的想法在攻擊者看來會不會只是種令人眼花繚亂的虛招假式,對于安全保障其實并無實質性改進呢?
“人們不可能從SIEM工具中得到自己想要的答案,”Forrester公司分析師John Kindervag如是說。他表示,新的變革浪潮必將來臨,但SIEM工具只是其中的一部分。
在出席RSA大會的全部分析師中,來自企業戰略集團的Jon Oltsik則成為最堅定的懷疑論者,他對大數據能成為APT問題的答案表示完全不可理解。
“獲取到的信息數據肯定會大量增加,這一點我并不反對,但問題在于,這些數據到底能說明什么,”Oltsik評論道。他認為,企業中的首席信息安全官(簡稱CISO)如今還對大數據將成為某種意義上的安全救星之類的想法不太感興趣。“當我與CISO們討論并陳述大數據的安全益處時,他們根本就是在當笑話來聽,”他告訴我們。
盡管存在不少負面意見,但某些大數據的早期部署工作已經讓我們看到了其在保障信息安全方面的希望。
Zions Bancorporation公司已經成立了一個規模龐大的信息庫,用于將實時安全保障的主動分析功能與業務數據相結合,以定位網絡釣魚攻擊、防止欺詐行為并抵御黑客侵入。根據去年十月的通報,該信息庫以Zettaset數據倉庫為基礎,而這套數據倉庫正是一款利用Hadoop打造而成的數據密集型分布式應用程序。Zions公司首席安全官Preston Wood將其形容為一種對當前SIEM工具的強化方案,并會出于安全目的對大量歷史業務數據進行監控。
包括NetIQ在內的諸多SIEM產品供應商,紛紛表示自己對于大數據將帶來的影響非常清楚,并認為新的安全時代即將來臨。
“這是SIEM產品發展的必然方向,”NetIQ公司產品管理部門總監Matt Ulery指出,這家企業推出的SIEM產品名為Sentinel。Ulery認為目前業界正在嘗試將商務智能與SIEM統一起來,并進行新一輪投資改造。大數據能夠檢測出正常運行情況之外的蛛絲馬跡,而Sentinel 7.0的特色也正是將數據與更多背景信息結合起來,Ulery如是說。
“但我們怎樣給‘好’下定義?”Ulery設問道,能夠揪出某個“正打算劫持賬戶”的攻擊者算得上好吧?但問題在于如何界定這一操作行為到底是來自員工還是攻擊者?他表示,隱匿攻擊行為本身每天出現的時間可能最多幾秒鐘,所以我們的目標是正確定義哪些對象是可信任的內部人員、而哪些才是真正的攻擊者。大數據在這方面相當擅長,能為我們提供大量必要援助。
但Ulery同時補充稱,要讓大數據在安全方面取得突破似乎還需要解決一些現實問題,這也正是討論話題中最難以逾越的障礙。
最現實的阻礙之一就是當前在企業中遍地開花的云計算,數據一旦進入云計算平臺,傳統SIEM方案將很難對其加以追蹤及分析,這就等于從根源上破壞了SIEM的保護機制。另一大現實問題在于,安全管理者們希望大數據能夠與他們預先制訂的數據管理策略與意向相吻合,這一點在目前仍然算是非常尖端的技術難題。在這樣一個產業鏈上下游密切相關的時代,是否允許移動設備以“自帶設備辦公”形式出現等問題所影響的已經不僅僅是企業自身的業務,更會成為管理領域的又一大難題。而有鑒于此,大數據的采用也已然變成不得不從的必然結果。該來的總會來,我們不妨共同期待它在安全領域的實際表現。
原文名:Can big data nab network invaders?
轉載鏈接:http://www.cioage.com/art/201203/96400.htm
