IT技術互動交流平台

河北快3官网

作(zuo)者︰張天雷  發(fa)布日期(qi)︰2020-02-25 22:21:15

企業和其他組織一直在(zai)充(chong)滿敵(di)意的信息(xi)安(an)全環(huan)境中xing)誦校 zai)這個環(huan)境中,計算和存儲資源(yuan)成為攻擊者使用入(ru)侵(qin)系(xi)統進行惡意攻擊的目(mu)標。其中,個人機(ji)密(mi)信息(xi)被竊(qie)取,然後(hou)被huan)旁zai)地下(xia)市場出售,而國家支持的攻擊導致大量(liang)數據(ju)泄露(lu)。在(zai)這種情(qing)況下(xia),一個企業di)枰 渴鶇笫ju)安(an)全性(xing)分析工具(ju)來(lai)保護有價值的公(gong)司(si)資源(yuan)。
信息(xi)安(an)全的很大一部分工作(zuo)是監控和分析服務器、網絡(luo)和其他設備上xi)氖ju)。如今大數據(ju)分析方面的進步也已經(jing)應用于安(an)防(fang)監控中,並(bing)且yi)強殺揮于實現更廣(guang)泛(fan)和更深入(ru)的分析。它們與傳統的信息(xi)安(an)全分析存在(zai)顯著的差異,本文(wen)將從(cong)兩個方面分別介紹大數據(ju)安(an)全分析的新的特點(dian),以及(ji)企業在(zai)選擇大數據(ju)分析技 術時(shi)需要考慮的關鍵因素。
大數據(ju)安(an)全分析的特征
在(zai)許多方面,大數據(ju)安(an)全分析是[安(an)全信息(xi)和事lu)芾li)security information and event management ,SIEM)及(ji)相關技術的延伸(shen)。雖然只是qie)zai)分析的數據(ju)量(liang)和數據(ju)類型方面存在(zai)量(liang)的差異,但對yuan)影an)全設備和應用程序提取到的信息(xi)類型來(lai)說,卻導致了質(zhi)的差異。
大數據(ju)安(an)全分析工具(ju)通常包括兩種功(gong)能類別︰SIEM,以及(ji)性(xing)能和可用性(xing)監控(PAM)。SIEM工具(ju)通常包括日志管理(li)、事lu)芾li)和行為分析,以及(ji)數據(ju)庫和應用程序監控。而PAM工具(ju)專注于運行管理(li)。然而,大數據(ju)分析工具(ju)比(bi)純粹(cui)地將SIEM和PAM工具(ju)放在(zai)一起要擁有更多的功(gong)能;它們的目(mu)的是實時(shi)地收集(ji)、整合和分析大規模的數據(ju),這需要一些額外的功(gong)能。
與SIEM一樣,大數據(ju)分析工具(ju)具(ju)有xing)zai)網絡(luo)上準確發(fa)現設備的能力。在(zai)一些情(qing)況下(xia),一個配置(zhi)管理(li)數據(ju)庫可以補充(chong)和提高自動收集(ji)到的數據(ju)的質(zhi) 量(liang)。此(ci)外,大數據(ju)分析工具(ju)還必須能夠與LDAP或Active Directory服務器,以及(ji)其他的第三方安(an)全工具(ju)進行集(ji)成。對事lu)  ?zuo)流程的支持對于SIEM工具(ju)可能並(bing)不是非常重要,但是當(dang)bi)罩競推淥lai)源(yuan)的安(an) 全事lu)ju)的的數據(ju)量(liang)非常大時(shi),這項功(gong)能就必不可少了。
大數據(ju)信息(xi)安(an)全分析與其他領(ling)域的安(an)全分析的區(qu)別主要表現在(zai)五個主要特征。
主要特性(xing)1︰可擴(kuo)展性(xing)【Benny注︰這里應翻譯(yi)為可伸(shen)縮(suo)性(xing),Scalability和Extensibility是有區(qu)別的】
大數據(ju)分析其中的一個主要特點(dian)是可伸(shen)縮(suo)性(xing)。這些平台必須擁有實時(shi)或接近(jin)實時(shi)的數據(ju)收集(ji)能力。網絡(luo)流通是一個不間斷xi)氖ju)包流,數據(ju)分析的速度必須要和數據(ju)獲取的速度一樣快。該(gai)分析工具(ju)不可能讓網絡(luo)流通暫停來(lai)趕上積壓的需要分析的數據(ju)包。
大數據(ju)的安(an)全分析不只是用一種無狀態的方式檢查數據(ju)包或進行深度數據(ju)包分析,對這個問題的理(li)解是非常重要的。雖然這些都是非常重要和必要的,但是具(ju)備跨越時(shi)間和空間的事lu)亓lian)能力是大數據(ju)分析平台的關鍵。這意味著只需要一段(duan)很短的時(shi)間,一個設備(比(bi)如web服務器)上記錄(lu)的事lu)鰨 梢悅饗緣賾胍桓鮒斬擻沒 璞干系(xi)氖錄(lu)嘍雜Αbr />主要特性(xing)2︰報告和可視化
大數據(ju)分析的另一個重要功(gong)能是對分析的報告和支持。安(an)全專家早就通過報表工具(ju)來(lai)支持業務和合規性(xing)報告。他們也有通過帶(dai)預配置(zhi)安(an)全指標的儀表板來(lai)提供關鍵性(xing)能指標的高層次(ci)概述。雖然現有的這兩種工具(ju)是必要的,但不足以滿足大數據(ju)的需求。
對安(an)全分析師來(lai)說,要求可視化工具(ju)通過穩定(ding)和快速的識別方式將大數據(ju)中獲得的信息(xi)呈現出來(lai)。例如,Sqrrl使用可視化技術,能夠幫(bang)助(zhu)分析師了解相互連(lian)接的數據(ju)(如網站,用戶和HTTP交易信息(xi))中的復雜關系(xi)。
主要特性(xing)3︰持久的大數據(ju)存儲
大數據(ju)安(an)全分析名字的由來(lai),是因為區(qu)別于其他安(an)全工具(ju),它提供了突出的存儲和分析能力。大數據(ju)安(an)全分析的平台通常采用大數據(ju)存儲系(xi)統,例如Hadoop分布式文(wen)件系(xi)統(HDFS)和更長的延遲檔案儲存,以及(ji)後(hou)端處(chu)理(li),以及(ji)一個行之有效的批(pi)處(chu)理(li)計算模型MapReduce。但是MapReduce並(bing)不一定(ding)是非常有效的,它需要非常密(mi)集(ji)的I / O支出。一個流行工具(ju)Apache Spark可以作(zuo)為MapReduce的替代,它是一個更廣(guang)義的處(chu)理(li)模型,相比(bi)MapReduce能更有效地利用內存。
大數據(ju)分析系(xi)統,如MapReduce和Spark,解決了安(an)全分析的計算需求。同(tong)時(shi),長時(shi)持久存儲通常還取決于關系(xi)或NoSQL數據(ju)庫。 例如,Splunk Hunk平台支持在(zai)Hadoop和NoSQL數據(ju)庫之上xi)姆治齪涂墑踴 8gai)平台位于一個組織的非關系(xi)型數據(ju)存儲與應用環(huan)境的其余(yu)部分之間。Hunk應用mi)接集(ji)成了數據(ju)存儲,不需要被轉移到二級內存存儲。Hunk平台包括用于分析大數據(ju)的一系(xi)列工具(ju)。它支持自定(ding)義的儀表板和Hunk應用程序開發(fa),它可以直接 構建在(zai)一個HDFS環(huan)境,以及(ji)自適應搜索(suo)和可視化工具(ju)之上。
大數據(ju)安(an)全分析平台的另一個重要特點(dian)是qin)悄芊fan)饋,在(zai)那里建立(li)了漏洞數據(ju)庫以及(ji)安(an)全性(xing)博客和其他新聞來(lai)源(yuan),潛在(zai)的有用信息(xi)能夠被持續更新。大數據(ju)安(an)全平台可從(cong)多種來(lai)源(yuan)提取數據(ju),能夠以它們自定(ding)義的數據(ju)收集(ji)方法復制威脅通知和關聯(lian)信息(xi)。
主要特性(xing)4︰信息(xi)環(huan)境【Benny注︰原文(wen)是Information context,其實應該(gai)翻譯(yi)為情(qing)境信息(xi),等價于context informaiton,已經(jing)成為安(an)全領(ling)域的專有名詞了】
由于安(an)全事lu)餉炊嗟氖ju),就給分析師和其他信息(xi)安(an)全專業人員帶(dai)來(lai)了si)藪蟺姆feng)險,限制了他們辨別關鍵事lu)哪芰ΑS杏玫拇笫ju)安(an)全分析工具(ju)都在(zai)特定(ding)用戶、設備和時(shi)間的環(huan)境下(xia)分析數據(ju)。
沒有這種背(bei)景(jing)的數據(ju)是沒什麼cong)玫模 bing)且會導致更高的誤報率。背(bei)景(jing)信息(xi)還改(gai)善了行為分析和異常檢測的質(zhi)量(liang)。背(bei)景(jing)信息(xi)可以包括相對靜態的信息(xi), 例如一個特定(ding)的雇(gu)員在(zai)特定(ding)部門(men)工作(zuo)。它還可以包括更多的動態信息(xi),例如,可能會隨著時(shi)間而改(gai)變的典型使用模式。例如,周(zhou)一早晨有大量(liang)對數據(ju)倉(cang)庫的訪(fang)問數據(ju) 是很正常的,因為管理(li)者需要進行一些臨時(shi)查詢,以便更好(hao)地了解周(zhou)報中描述的事lu)br />主要特性(xing)5︰功(gong)能廣(guang)泛(fan)性(xing)
大數據(ju)安(an)全分析的最後(hou)一個顯著特征是它的功(gong)能涵(han)蓋(gai)了非常廣(guang)泛(fan)的安(an)全領(ling)域。當(dang)bi)唬 笫ju)分析將收集(ji)來(lai)自終端設備的數據(ju),可能是通過因特網連(lian)接到TCP或IP網絡(luo)的任何設備,包括筆記本電腦、智能手機(ji)或任何物聯(lian)網設備。除了物理(li)設備和虛擬服務器,大數據(ju)安(an)全分析必須加入(ru)與軟(ruan)件相關的安(an)全性(xing)。例如,脆弱性(xing)評(ping)估被用于確定(ding)在(zai)給定(ding)的環(huan)境中的任何可能的安(an)全漏洞。網絡(luo)是一個信息(xi)和標準的豐(feng)富來(lai)源(yuan),例如Cisco開發(fa)的NetFlow網絡(luo)協議,其可以被用于收集(ji)給定(ding)網絡(luo)上xi)牧髁liang)信息(xi)。

大數據(ju)分析平台,也可以使用入(ru)侵(qin)檢測產品分析系(xi)統或環(huan)境行為,以發(fa)現可能的惡意活動。
大數據(ju)安(an)全分析與其他形式的安(an)全分析存在(zai)質(zhi)的不同(tong)。需要可擴(kuo)展性(xing),需要集(ji)成和可視化不同(tong)類型數據(ju)的工具(ju),環(huan)境信息(xi)越來(lai)越重要,安(an)全功(gong)能的廣(guang)泛(fan)性(xing),其讓導致供應商應用先進的數據(ju)分析和存儲工具(ju)到信息(xi)安(an)全中。
如何選擇合適的大數據(ju)安(an)全分析平台
大數據(ju)安(an)全分析技術結(jie)合了先進的安(an)全事lu)治齬gong)能和事故管理(li)系(xi)統功(gong)能(SIEM),適用于很多企業案例,但不是全部。在(zai)投資大數據(ju)分析平台之前,請考慮公(gong)司(si)使用大數據(ju)安(an)全系(xi)統的組織的能力水(shui)平。這里需要考慮幾(ji)個因素,從(cong)需要保護的IT基(ji)礎設施,到部署更多安(an)全控制的成本和益(yi)處(chu)。
基(ji)礎設施規模
擁有大量(liang)IT基(ji)礎設施的組織是大數據(ju)安(an)全分析主要候選者。應用程序、操作(zuo)系(xi)統和網絡(luo)設備都可以捕獲到惡意活動的痕跡。單(dan)獨一種類型的數據(ju)不能提供足夠huai)鬧zheng)據(ju)來(lai)標識活動的威脅,多個數據(ju)源(yuan)的組合可以為一個攻擊的狀態提供更全面的視角。
現有的基(ji)礎設施和安(an)全控制生成了原始數據(ju),但是大數據(ju)分析應用程序不需要收集(ji)、采集(ji)和分析所有的信息(xi)。在(zai)只有幾(ji)台設備,而且網絡(luo)結(jie)構不是很復雜的環(huan)境中,大數據(ju)安(an)全分析可能並(bing)不是十分必要,在(zai)這種情(qing)況下(xia),傳統的SEIM可能已經(jing)足夠。
近(jin)實時(shi)監控
驅動大數據(ju)安(an)全分析需求的另一個因素是qiang)凳shi)采集(ji)事故信息(xi)的必要性(xing)。在(zai)一些保存著高價值數據(ju)、同(tong)時(shi)又容易遭受到嚴重攻擊的環(huan)境中,實時(shi)監控尤為重要,如金融服務、醫療(liao)保健、政府機(ji)構等。
最近(jin)Verizon的研究發(fa)現,在(zai)60%的事lu) ?髡唚芄輝zai)幾(ji)分鐘內攻克系(xi)統,但幾(ji)天內檢測到漏洞的比(bi)例也很低。減少檢測時(shi)間的一種方法是從(cong)整個基(ji)礎設施中實時(shi)地收集(ji)多樣數據(ju),並(bing)立(li)即篩(shai)選出與攻擊事lu)泄氐氖ju)。這是一個大數據(ju)分析的關鍵用例。
詳(xiang)細歷史(shi)數據(ju)
盡管盡了最大努力,在(zai)一段(duan)時(shi)間內可能檢測不huai)焦?鰲Tzai)這種情(qing)況下(xia),能夠huan)fang)問歷史(shi)日志和其它事lu)ju)是很重要的。只要有足夠huai)氖ju)可用,取證(zheng)分析可以幫(bang)助(zhu)識別攻擊是如何發(fa)生的。
在(zai)某些情(qing)況下(xia),取證(zheng)分析不需要確定(ding)漏洞或糾(jiu)正安(an)全弱點(dian)。例如,如果一個小企業受到攻擊,最經(jing)濟(ji)有效的補救措施可能雇(gu)安(an)全顧問來(lai)評(ping)估目(mu)前的配置(zhi)和做(zuo)法,並(bing)提出修改(gai)建議。在(zai)這種情(qing)況下(xia),並(bing)不需要大數據(ju)安(an)全分析。其他的安(an)全措施就可能很有效,而且價格便宜(yi)。
本地vs雲基(ji)礎架構
顧名思義,大數據(ju)安(an)全分析需要收集(ji)和分析大量(liang)各種類型的數據(ju)。如捕獲網絡(luo)上xi)乃辛髁liang)的能力,對捕獲安(an)全事lu)畔xi)的任何限制,都可能對yuan)喲笫ju)安(an)全分析系(xi)統獲得的信息(xi)的質(zhi)量(liang)產生嚴重影響。這一huai)dian)在(zai)雲環(huan)境下(xia)尤其突出。
雲提供商限制網絡(luo)流量(liang)的訪(fang)問,以減輕網絡(luo)攻擊的風(feng)險。例如,雲計算客戶不能開發(fa)網段(duan)來(lai)收集(ji)網絡(luo)數據(ju)包的全面數據(ju)。前瞻性(xing)的大數據(ju)安(an)全分析用戶應該(gai)考慮qie)萍撲愎┬ι淌僑綰問┘酉拗評(ping)lai)遏制分析範duan)?摹br />有些情(qing)況下(xia),大數據(ju)安(an)全分析對雲基(ji)礎設施是有用的,但是,特別是qie)粕嫌泄氐鍬lu)生成的數據(ju)。例如,亞馬遜Web服務提供了性(xing)能監控服務,稱為CloudWatch的,和雲API調用的審計日志,稱為CloudTrail。雲上xi)牟僮zuo)數據(ju)可能不會和其他數據(ju)源(yuan)的數據(ju)一樣精細,但它可以補充(chong)其他數據(ju)源(yuan)。
利用數據(ju)的能力
大數據(ju)安(an)全分析攝取和關聯(lian)了大量(liang)數據(ju)。即使當(dang)數據(ju)被概括和tu)奐ji)的時(shi)候,對它的解釋(shi)也可能是很有挑戰性(xing)的。從(cong)大數據(ju)分析產生的信息(xi)的質(zhi)量(liang),部分上講是 分析師解釋(shi)數據(ju)能力的一項指標。當(dang)企業與安(an)全事lu)che)上關系(xi)的時(shi)候,它們需要那些能夠切斷攻擊鏈路(lu),以及(ji)理(li)解網絡(luo)流量(liang)和操作(zuo)系(xi)統事lu)陌an)全分析師。
例如,分析師可能會收到一個數據(ju)庫服務器上有關可疑活動的警報。這很可能不是一個攻擊的第一步。分析師是否可以啟動一個警報,並(bing)通過導航歷史(shi)數據(ju)找(zhao)到相關事lu)lai)確定(ding)它是否確實是一個攻擊?如果不能,那麼該(gai)組織並(bing)沒有意識到大數據(ju)安(an)全分析平台帶(dai)來(lai)的好(hao)處(chu)。
其他安(an)全控制
企業在(zai)投身大數據(ju)安(an)全分析之前,需要考慮它們qie)zai)安(an)全實踐(jian)方面的整體(ti)成熟度。也就是說,其他更便宜(yi)和更為簡單(dan)的mu)?樸Ωgai)放在(zai)第一位。
應該(gai)定(ding)義、執行和監測清晰的身份(fen)和訪(fang)問管理(li)策略。例如,操作(zuo)系(xi)統和應用程序應該(gai)定(ding)期(qi)修補。在(zai)虛擬環(huan)境的情(qing)況下(xia),機(ji)器圖像應定(ding)期(qi)重建,以確保最新的補丁被並(bing)入(ru)。應該(gai)使用警報系(xi)統監視可疑事lu)螄災幕huan)境變化(例如服務器上增加了一個管理(li)員帳戶)。應當(dang)部署web應用防(fang)火牆(qiang)來(lai)減少注入(ru)攻擊的風(feng)險和其他基(ji)于應用程序的威脅。
大數據(ju)安(an)全分析的好(hao)處(chu)可能是巨大的,尤其是當(dang)部署到已經(jing)實現了全面的防(fang)御戰略的基(ji)礎設施。
大數據(ju)安(an)全分析商業案例
大數據(ju)安(an)全分析是一項新的信息(xi)安(an)全控制技術。這些系(xi)統的主要用途(tu)是合並(bing)來(lai)自于多個來(lai)源(yuan)的數據(ju),並(bing)減少手動集(ji)成解決方案的需求。同(tong)時(shi)還解決了其他安(an)全控制存在(zai)的不足,例如跨多個數據(ju)源(yuan)查詢困難。通過捕獲來(lai)自于多個來(lai)源(yuan)的數據(ju)流,大數據(ju)分析系(xi)統提高了收集(ji)取證(zheng)重要細節(jie)的機(ji)會。
大數據(ju)安(an)全分析在(zai)資金和人力資源(yuan)上xi)耐蹲史(shi)淺0汗蟆?悸且桓魴碌陌an)全平台將如何集(ji)成現有的安(an)全和日志記錄(lu)工具(ju)。雖然一個新的大數據(ju)安(an)全分析系(xi)統和現有的安(an)全控件之間有可能存在(zai)功(gong)能上xi)鬧氐  獠bing)不一定(ding)是壞(huai)事。冗余(yu)功(gong)能可以幫(bang)助(zhu)減輕系(xi)統錯過潛在(zai)威脅的風(feng)險。
 

 

 

Tag標簽︰數據(ju)  
  • 河北快3官网

About IT165 - 廣(guang)告服務 - 隱私聲(sheng)明 - 乐福彩票官网版(ban)權申明 - 免(mian)責條款 - 網站地圖 - 網友投稿 - 聯(lian)系(xi)方式
本站內容來(lai)自于互聯(lian)網,僅供用于網絡(luo)技術學習(xi),學習(xi)中請遵循相關法律法規
河北快3官网 | 下一页