互聯(lián)網(wǎng)的放大效應使公眾的容忍度越來越低，尤其是信息安全事件的影響，讓銀行面臨的聲譽風險壓力倍增。不容樂觀的是，在數(shù)據(jù)大集中已經(jīng)成為潮流的今天，信息安全風險也在急劇集中，銀行重要客戶的數(shù)據(jù)一旦被不法分子利用，產(chǎn)生身份冒充、釣魚詐騙等違法事件將極難防范。如何既守住信息安全底線，又保障業(yè)務健康發(fā)展，是擺在眾多銀行面前的一道難題。

這也是為什么在銀行的IT基礎設施里幾乎看到安全產(chǎn)品的“全家福”的原因，各種防火墻、WAF、IDS、IPS、DLP應接不暇。但在這樣的情況下，依然沒能避免數(shù)據(jù)泄露、釣魚欺詐的事件發(fā)生。讓人不禁要問，銀行信息安全防護之路在何方？

弄清楚這個問題，就要從這些傳統(tǒng)的檢測機制上尋找原因?？梢哉f，傳統(tǒng)的防御機制都是在犧牲了無數(shù)“小白鼠”之后，對這些已知的攻擊特征做的針對性防護機制，但相信哪個黑客也不會傻到用路人皆知的攻擊手段，冒著被全球追捕的危險去打銀行的主意。

大數(shù)據(jù)技術的出現(xiàn)能否力挽狂瀾？

在攻擊者與防御者一直處于道高一尺魔高一丈的狀態(tài)下，SIEM/SOC的產(chǎn)品出現(xiàn)了,其建立在早期的日志管理之上，更多的關注日志采集后的分析、審計并發(fā)現(xiàn)問題，將日志分析的功效發(fā)揮出來。這給安全防護工作帶來了新的思路，畢竟攻擊者在每個環(huán)節(jié)下都會雁過留痕，通過數(shù)據(jù)分析，如果真的能把隱匿在數(shù)據(jù)海洋中的攻擊者或者潛在攻擊者“揪”出來，那么攻擊方在暗處，防守方在明處的不利局面將被徹底扭轉。

但往往事實總是與愿違，受限于技術約束，傳統(tǒng)的安全分析大都僅針對樣本數(shù)據(jù)進行分析，并將分析結果推論到剩余的數(shù)據(jù)集合上。而隨著高級威脅和欺詐行為的不斷進化，越來越需要對全量數(shù)據(jù)，甚至是相關的情境數(shù)據(jù)進行分析。并且當銀行每天的數(shù)據(jù)量高達TB級時，SIEM/SOC的瓶頸出現(xiàn)了，龐大的數(shù)據(jù)量和多樣性迅速成為“駱駝背上的稻草”，并且會產(chǎn)生很多誤報。

大數(shù)據(jù)開始一度成為熱詞，這也讓銀行業(yè)嘗到了甜頭。利用大數(shù)據(jù)分析不僅可以挖掘客戶的消費習慣做精準營銷，還可以在安全防護能力上更上一層樓。借助大數(shù)據(jù)安全分析技術，能夠更好地解決天量安全要素信息的采集、存儲的問題。

不過這似乎與傳統(tǒng)數(shù)據(jù)分析除了在數(shù)據(jù)處理能力上，其他差異并不是那么直觀。畢竟信息安全十多年來一直在利用網(wǎng)絡流量、系統(tǒng)日志和其它信息源的分析甄別威脅，檢測惡意活動，而這些傳統(tǒng)方式跟大數(shù)據(jù)有何不同還是不太清晰，如果大數(shù)據(jù)安全分析僅是這樣，那么想在安全領域力挽狂瀾顯然是不夠的。

如何做好大數(shù)據(jù)安全分析

其實不然，在一個較為完備的基于大數(shù)據(jù)安全分析的解決方案中，通常會有一個大數(shù)據(jù)安全分析平臺作為整個方案的核心部件，承載大數(shù)據(jù)分析的核心功能，將所有分散的安全要素信息進行集中、存儲、分析、可視化，對分析的結果進行分發(fā)。

注意，是所有的安全要素，而并非僅僅是安全設備，無論是終端的、主機的、應用的、網(wǎng)絡設備的、安全設備的，還是第三方云上的，通過收集這些全量數(shù)據(jù)進行統(tǒng)一的存儲、分析和展現(xiàn)，從而發(fā)現(xiàn)里面的異常行為，并進一步找到未知的安全威脅。這種思路常見于美國FireEye、Phantom Cyber等公司的解決方案，當然也包括中國的HanSight。

做大數(shù)據(jù)分析，數(shù)據(jù)質量也非常關鍵，如果提供分析的數(shù)據(jù)本身就有問題或者錯誤，那么分析結果必然有問題。具體來說，如果IT人員僅針對海量日志進行分析，可能由于攻擊者將關鍵日志抹除，或者故意摻入假日志，反而會讓基于日志的大數(shù)據(jù)安全分析誤導。這時，IT人員很強調對原始網(wǎng)絡流量的分析，將這些流量轉換為元數(shù)據(jù)，然后進行大數(shù)據(jù)分析，配合日志分析，效果更佳。

能夠更加智能地洞悉信息也是大數(shù)據(jù)安全分析的優(yōu)勢之一。以銀行業(yè)為例，黑客通過一些手段偽裝成真實合法的用戶進行資金劃轉，但上一筆記錄是北京，而五分鐘之后的記錄發(fā)生在廣州，這對于銀行系統(tǒng)來說，只要是合法用戶的操作，就不會干預。但顯然在五分鐘的時間里除了超人，沒人能做到從北京直接到廣州。通過用戶異常行為的安全分析引擎，便會將這種違約交易進行阻擋，防患于未然。

對于黑客攻擊網(wǎng)銀系統(tǒng)經(jīng)常使用的“低頻暴力破解”手法，大數(shù)據(jù)安全分析也帶來了奇效。所謂低頻暴力破解就是利用手機銀行在后臺服務端可以多次密碼試錯的情況下，不停的撞庫進行破解。而利用大數(shù)據(jù)安全分析便對這些仿制的原始IP查封，加入到黑名單。

不僅如此，大數(shù)據(jù)安全分析的發(fā)展還將改變傳統(tǒng)的網(wǎng)絡安全防護架構、安全分析體系，并深刻變革現(xiàn)有的網(wǎng)絡安全業(yè)務模式。包括SIEM、日志分析、欺詐檢測、威脅情報在內的多種服務都在積極擁抱大數(shù)據(jù)安全分析技術。大數(shù)據(jù)安全分析已成為安全業(yè)務模式變革的催化劑。而也正是如HanSight這樣的團隊努力下，讓大數(shù)據(jù)安全分析開始嶄露頭角，使銀行安全防護的道路逐漸明朗了起來。