隨著大數(shù)據(jù)時(shí)代的到來(lái),大數(shù)據(jù)在商業(yè)領(lǐng)域的應(yīng)用正廣泛深入,很多行業(yè)都已經(jīng)開(kāi)始利用大數(shù)據(jù)來(lái)提高銷(xiāo)售,降低成本,精準(zhǔn)營(yíng)銷(xiāo)等等。然而,其實(shí)大數(shù)據(jù)在網(wǎng)絡(luò)安全與信息安全方面也有很長(zhǎng)足的應(yīng)用。特別是利用大數(shù)據(jù)來(lái)甄別和發(fā)現(xiàn)風(fēng)險(xiǎn)和漏洞。
通過(guò)大數(shù)據(jù),人們可以分析大量的潛在安全事件,找出它們之間的聯(lián)系從而勾勒出一個(gè)完整的安全威脅。通過(guò)大數(shù)據(jù),分散的數(shù)據(jù)可以被整合起來(lái),使得安全人員能夠采用更加主動(dòng)的安全防御手段。
今天,網(wǎng)絡(luò)環(huán)境極為復(fù)雜,APT攻擊以及其他一些網(wǎng)絡(luò)攻擊可以通過(guò)對(duì)從不同數(shù)據(jù)源的數(shù)據(jù)的搜索和分析來(lái)對(duì)安全威脅加以甄別,要做到這一點(diǎn),就需要對(duì)一系列數(shù)據(jù)源的進(jìn)行監(jiān)控,包括DNS數(shù)據(jù),命令與控制(C2),黑白名單等。從而能夠把這些數(shù)據(jù)進(jìn)行關(guān)聯(lián)來(lái)進(jìn)行發(fā)囧。
企業(yè)針對(duì)安全的大數(shù)據(jù)分析下面是一些要點(diǎn):
DNS數(shù)據(jù)
DNS數(shù)據(jù)能夠提供一系列新注冊(cè)域名,經(jīng)常用來(lái)進(jìn)行垃圾信息發(fā)送的域名,以及新創(chuàng)建的域名等等,所有這些信息都可以和黑白名單結(jié)合起來(lái),所有這些數(shù)據(jù)都應(yīng)該收集起來(lái)做進(jìn)一步分析。
如果自有DNS服務(wù)器,就能過(guò)檢查那些對(duì)外的域名查詢(xún),這樣可能發(fā)現(xiàn)一些無(wú)法解析的域名。這種情況就可能意味著你檢測(cè)到了一個(gè)“域名生成算法”.這樣的信息就能夠讓安全團(tuán)隊(duì)對(duì)公司網(wǎng)絡(luò)進(jìn)行保護(hù)。而且如果對(duì)局域網(wǎng)流量數(shù)據(jù)日志進(jìn)行分析的話(huà),就有可能找到對(duì)應(yīng)的受到攻擊的機(jī)器。
命令與控制(C2)系統(tǒng)
把命令與控制數(shù)據(jù)結(jié)合進(jìn)來(lái)可以得到一個(gè)IP地址和域名的黑名單。對(duì)于公司網(wǎng)絡(luò)來(lái)說(shuō),網(wǎng)絡(luò)流量絕對(duì)不應(yīng)該流向那些已知的命令與控制系統(tǒng)。如果網(wǎng)絡(luò)安全人員要仔細(xì)調(diào)查網(wǎng)絡(luò)攻擊的話(huà),可以把來(lái)自C2系統(tǒng)的流量引導(dǎo)到公司設(shè)好的“蜜罐”機(jī)器上去。
安全威脅情報(bào)
有一些類(lèi)似與網(wǎng)絡(luò)信譽(yù)的數(shù)據(jù)源可以用來(lái)判定一個(gè)地址是否是安全的。有些數(shù)據(jù)源提供“是”與“否”的判定,有的還提供一些關(guān)于威脅等級(jí)的信息。網(wǎng)絡(luò)安全人員能夠根據(jù)他們能夠接受的風(fēng)險(xiǎn)大小來(lái)決定某個(gè)地址是否應(yīng)該訪(fǎng)問(wèn)。
網(wǎng)絡(luò)流量日志
有很多廠商都提供記錄網(wǎng)絡(luò)流量日志的工具。在利用流量日志來(lái)分析安全威脅的時(shí)候,人們很容易被淹沒(méi)在大量的“噪音”數(shù)據(jù)中。不過(guò)流量日志依然是安全分析的基本要求。有一些好的算法和軟件能夠幫助人們提供分析質(zhì)量。
“蜜罐”數(shù)據(jù)
“蜜罐”可以有效地檢測(cè)針對(duì)特定網(wǎng)絡(luò)的惡意軟件。此外,通過(guò)“蜜罐”獲得的惡意軟件可以通過(guò)分析獲得其特征碼,從而進(jìn)一步監(jiān)控網(wǎng)絡(luò)中其他設(shè)備的感染情況。這樣的信息是非常有價(jià)值的,尤其是很多APT攻擊所采用的定制的惡意代碼往往無(wú)法被常規(guī)防病毒軟件所發(fā)現(xiàn)。參見(jiàn)本站文章企業(yè)設(shè)置“蜜罐”的五大理由
數(shù)據(jù)質(zhì)量很重要
最后,企業(yè)要注意數(shù)據(jù)的質(zhì)量。市場(chǎng)上有很多數(shù)據(jù)可用,在安全人員進(jìn)行大數(shù)據(jù)安全分析時(shí),這些數(shù)據(jù)的質(zhì)量和準(zhǔn)確性是一個(gè)最重要的考量。因此,企業(yè)需要有一個(gè)內(nèi)部的數(shù)據(jù)評(píng)估團(tuán)隊(duì)針對(duì)數(shù)據(jù)來(lái)源提出相應(yīng)的問(wèn)題,如:最近的數(shù)據(jù)是什么時(shí)候添加的?有沒(méi)有樣本數(shù)據(jù)以供評(píng)估?每天能夠添加多少數(shù)據(jù)?這些數(shù)據(jù)哪些是免費(fèi)的?數(shù)據(jù)總共收集了多久?等等。
安全事件和數(shù)據(jù)泄露的新聞幾乎每天都能夠出現(xiàn)在報(bào)紙上,即使企業(yè)已經(jīng)開(kāi)始采取手段防御APT,傳統(tǒng)的安全防御手段對(duì)于APT之類(lèi)的攻擊顯得辦法不多。而利用大數(shù)據(jù),企業(yè)可以采取更為主動(dòng)的防御措施,使得安全防御的深度和廣度都大為加強(qiáng)。
D1Net評(píng)論:
大數(shù)據(jù)價(jià)值的集中體現(xiàn),就是運(yùn)用大數(shù)據(jù)分析將本身存在的價(jià)值應(yīng)用到實(shí)處,然而,大數(shù)據(jù)分析存在的安全問(wèn)題也不容忽視,為此,企業(yè)應(yīng)綜合考量影響大數(shù)據(jù)分析安全性的各項(xiàng)因素,掌握每個(gè)要點(diǎn),就能做到萬(wàn)無(wú)一失。