大數(shù)據(jù)安全的小船怎樣才能不翻?
安全數(shù)據(jù)的數(shù)量、速度、種類的迅速膨脹,導(dǎo)致的不僅僅是海量異構(gòu)數(shù)據(jù)的融合、存儲(chǔ)和管理的問題,甚至動(dòng)搖了傳統(tǒng)的安全分析體系和方法。你了解什么是大數(shù)據(jù)安全分析么?
1、大數(shù)據(jù)安全分析的核心目標(biāo)是什么?
找到隱藏在數(shù)據(jù)背后的安全真相。
數(shù)據(jù)之間存在著關(guān)聯(lián),傳統(tǒng)分析無法將海量數(shù)據(jù)匯總,但是大數(shù)據(jù)技術(shù)能夠應(yīng)對(duì)海量數(shù)據(jù)的分析需求。通過大數(shù)據(jù)基礎(chǔ)能夠挖掘出APT攻擊、內(nèi)網(wǎng)隱秘通道、異常用戶行為等安全事件。在此基礎(chǔ)上可建設(shè)為安全決策支持系統(tǒng),為安全決策提供數(shù)據(jù)支撐。
2、國(guó)內(nèi)外大數(shù)據(jù)安全分析發(fā)展現(xiàn)狀如何?
目前國(guó)外比較成熟的大數(shù)據(jù)安全分析主要通過采用大數(shù)據(jù)技術(shù)采集網(wǎng)絡(luò)流量、安全設(shè)備日志、業(yè)務(wù)系統(tǒng)日志、網(wǎng)絡(luò)設(shè)備日志,并對(duì)這些數(shù)據(jù)進(jìn)行挖掘、關(guān)聯(lián)等運(yùn)算,最后找出安全事件。
3、是否有成熟的大數(shù)據(jù)安全分析的方法論?
大數(shù)據(jù)是一個(gè)具體的技術(shù)實(shí)現(xiàn)。這個(gè)技術(shù)在其適用的場(chǎng)景下能夠解決傳統(tǒng)數(shù)據(jù)挖掘難以滿足的需求。而安全分析方法論是一直在不斷革新的。安全分析方法論中仍然有一些理念是無法落地的,無法落地的核心問題是缺少技術(shù)支撐。
當(dāng)前采用的大數(shù)據(jù)技術(shù)不是對(duì)安全分析進(jìn)行革新,而是將安全分析曾經(jīng)無法實(shí)現(xiàn)的目標(biāo)加以落地。就如同關(guān)系型數(shù)據(jù)的理念,其最早在1970年提出,而落地產(chǎn)品在1976年才有相應(yīng)的雛形。大數(shù)據(jù)技術(shù)其實(shí)是安全分析方法論的落地實(shí)現(xiàn)。
4、大數(shù)據(jù)安全分析類項(xiàng)目過程中容易遇到的技術(shù)難點(diǎn)或需要大量投入的環(huán)節(jié)?
分析平臺(tái)目前基本是成熟的技術(shù),難點(diǎn)主要是前期規(guī)劃與安全分析兩個(gè)環(huán)節(jié)。前期規(guī)劃要能夠準(zhǔn)確的估算出硬件配置、存儲(chǔ)容量等基礎(chǔ)信息,后期的安全分析需要專業(yè)人員對(duì)數(shù)據(jù)進(jìn)行深入挖掘。
5、從大數(shù)據(jù)安全分析的角度如何實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)安全?
通過大數(shù)據(jù)分析能夠量化的明確當(dāng)前企業(yè)中存在的安全事件,通過安全事件驅(qū)動(dòng)業(yè)務(wù)發(fā)展,從而實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)安全的目標(biāo)。
6、作為非IT類型企業(yè),要實(shí)現(xiàn)大數(shù)據(jù)安全分析所需的必要條件是什么?
專職的IT團(tuán)隊(duì),專職的安全團(tuán)隊(duì),必要的資源投入,必要的流程支持。
7、大數(shù)據(jù)安全分析可視化的技術(shù)現(xiàn)狀如何?展示的內(nèi)容、方法、形式有哪些?
可視化技術(shù)一直都在不斷發(fā)展中,在沒有大數(shù)據(jù)之前可視化技術(shù)廣泛被使用在BI系統(tǒng)中。隨著大數(shù)據(jù)技術(shù)的成熟,可視化技術(shù)不僅能實(shí)現(xiàn)傳統(tǒng)的餅圖、折線圖、散點(diǎn)圖、柱狀圖、條形圖之外,還能夠以地圖、熱力圖、氣泡圖、力圖、平行坐標(biāo)圖等多維展示。
8、如何從展現(xiàn)層面體現(xiàn)大數(shù)據(jù)安全分析的優(yōu)勢(shì)?
展現(xiàn)只是安全分析的最后結(jié)果呈現(xiàn)。大數(shù)據(jù)的安全分析的優(yōu)勢(shì)的核心是在于安全分析模型。在展示層面的優(yōu)勢(shì)完全來自于安全模型的定義,僅從展示層面不好說明其優(yōu)勢(shì)。這主要是因?yàn)?,在沒有大數(shù)據(jù)技術(shù)之前可視化展示技術(shù)也在快速發(fā)展。
9、如果從專家系統(tǒng)、統(tǒng)計(jì)分析、機(jī)器學(xué)習(xí)三個(gè)維度實(shí)現(xiàn)大數(shù)據(jù)安全分析,是否已有相應(yīng)的算法或數(shù)據(jù)模型?
這三個(gè)是不同的層面。在這三個(gè)層面都有成熟的算法以及應(yīng)用,并且都通過的實(shí)際場(chǎng)景的檢驗(yàn)。
◎?qū)<蚁到y(tǒng)通常是由在線與離線兩個(gè)組成部分。離線部分為客戶本地的知識(shí)庫(kù),里面記錄大量經(jīng)驗(yàn),通過歷史經(jīng)驗(yàn)對(duì)問題進(jìn)行處理。在線部分為云端知識(shí)庫(kù)系統(tǒng),客戶通過云端系統(tǒng)提出問題,解決問題,并且在線系統(tǒng)通常為7*24小時(shí),由全球?qū)<医恿μ幚韱栴}。
◎統(tǒng)計(jì)分析,通過簡(jiǎn)單的統(tǒng)計(jì)進(jìn)行數(shù)據(jù)的過濾與結(jié)果呈現(xiàn)。通常由非專業(yè)人員進(jìn)行簡(jiǎn)單的數(shù)據(jù)統(tǒng)計(jì)工作。能夠從宏觀的角度發(fā)現(xiàn)一些問題,但是無法實(shí)現(xiàn)深入的數(shù)據(jù)挖掘工作。為了應(yīng)對(duì)這樣的實(shí)際情況,在業(yè)務(wù)系統(tǒng)中會(huì)建設(shè)數(shù)據(jù)倉(cāng)庫(kù),通過數(shù)據(jù)倉(cāng)庫(kù)來實(shí)現(xiàn)數(shù)據(jù)挖掘工作。但是由于建立數(shù)據(jù)倉(cāng)庫(kù)費(fèi)時(shí)費(fèi)力,只有在大型集團(tuán)企業(yè)中才會(huì)將其使用在安全領(lǐng)域。
◎機(jī)器學(xué)習(xí),實(shí)際上是程序自我矯正,實(shí)現(xiàn)結(jié)果的準(zhǔn)確性。這是一個(gè)較為成熟的技術(shù),在金融領(lǐng)域有很多成熟的案例。機(jī)器學(xué)習(xí)主要應(yīng)用在難以人為劃定規(guī)則的領(lǐng)域,如異常流量監(jiān)測(cè),異常行為檢測(cè)等。通常使用在難以通過規(guī)則進(jìn)行判斷的業(yè)務(wù)場(chǎng)景中。
10、對(duì)于已知的威脅模式,已實(shí)現(xiàn)的基于大數(shù)據(jù)的安全分析算法或模型有哪些?
◎攻擊鏈關(guān)聯(lián)分析:同一資產(chǎn),按照威脅檢測(cè)的時(shí)間進(jìn)行分析,描述攻擊鏈條。
◎歸并統(tǒng)計(jì)相同類型的攻擊事件進(jìn)行合并,多對(duì)一統(tǒng)計(jì),一對(duì)多統(tǒng)計(jì)。
◎威脅情報(bào)關(guān)聯(lián)分析根據(jù)威脅情報(bào),對(duì)當(dāng)前的數(shù)據(jù)和歷史數(shù)據(jù)進(jìn)行遞歸查詢,生成告警事件。
◎異常流量學(xué)習(xí)正常訪問流量,當(dāng)流量異常時(shí)進(jìn)行告警。
提交
新大陸自動(dòng)識(shí)別精彩亮相2024華南國(guó)際工業(yè)博覽會(huì)
派拓網(wǎng)絡(luò)被Forrester評(píng)為XDR領(lǐng)域領(lǐng)導(dǎo)者
智能工控,存儲(chǔ)強(qiáng)基 | ??低晭砭手黝}演講
展會(huì)|Lubeworks路博流體供料系統(tǒng)精彩亮相AMTS展會(huì)
中國(guó)聯(lián)通首個(gè)量子通信產(chǎn)品“量子密信”亮相!