大数据给我们在对抗入侵方面带来新希望,觊觎敏感信息的攻击者们变得更容易落网。
“大数据”领域的安全体系具备这样一种特点:只要企业能够将自身与安全相关的事件数据与业务信息仓库相结合,就完全可以通过对大数据的分析揪出那些试图盗取敏感信息的入侵者。
从安全角度来说,我们当然希望大数据能够在大型数据资源库的日益普及之下,取得更加辉煌的发展态势;而这一切就当前来看主要依靠开源可扩展软件Hadoop在企业中的采用情况。随着大数据的人气一路走高,随之伴生的一种全新工作岗位也在与Hadoop相关的IT领域衍生出来,这就是“数据科学家”。与传统的安全专家与分析师有所不同,以大数据为主要关注对象的数据科学家们所关心的是如何利用工具及知识保障信息安全,并保证隐匿入侵者远离那些高度敏感的数据。
事实告诉我们,在广阔无垠的网络世界中追踪恶意攻击者可谓大海捞针,而“大数据”的出现则让情况有了一些转机。不过事情真有这么美好吗?
来自企业管理联合会的资深分析师Scott Crawford对此充满信心。“网络数据分析师们能够发现异常情况,但无法将这些异常与安全保障机制联系起来,”他在最近于旧金山举行的RSA大会上,在大数据与安全辅助作用主题发言中表达了以上意见。
根据Crawford的预测,大数据领域将最终出现“针对安全算法的新市场”。他指出,像Red Lambda以及Palantir这样的企业目前已经在通过数学分析对异常情况进行定位及诊断。
那些“恶意”攻击者一直在努力将异常状况隐藏起来,让网络中的用户在看似“正常”的流程中身受其害,而躲在正常背后的阴暗面才是他们的真正目的。现在,隐匿攻击者已经能够避开大部分传统防御机制,例如入侵防御系统、防火墙以及反病毒防御等手段,Gartner公司分析师Neil MacDonald在RSA大会上的相关版块中做出这样的提醒。
这些攻击渗透及窃取高度敏感数据的行为势必带来毁灭性的严重后果,此类手段有时也被称为先进持续性威胁(简称APT)。从这一方向出发,恶意人士将能够有效地隐藏自己在网络中所实施的邪恶计划。MacDonal还认为,时至今日,我们已经很难根据表面情况判断出哪些网络行为属于“好的”,而哪些算是“坏的”。“我们必须深入了解正面行为的真正特征”,以切实掌握“与正面行为不符的诸多差异”,他指出。
大数据的出现为安全性分析工作提供了新的可行性,这也许意味着目前所通用的大部分安全工具,例如安全信息与事件管理(简称SIEM)等,很可能已经无法满足新趋势的要求。分析师们认为,现在我们亟需一场变革。
MacDonald告诉我们,以上观点绝不是危言耸听,其中的某些表述现在已经初见端倪,而RSA大会威胁检测产品NetWitness以及惠普出品的ArcSight SIM等等都开始在这些方面做出改变。包括CrowdStrike公司在内的诸多新兴企业甚至明确表示,他们会以新的方式应对令人头痛的APT问题。
然而,SIEM类产品的演变真的能为与业务相关的大数据带来可靠的保障吗?而将重要的业务数据从一系列防火墙、服务器、IPS等能够提供有意义反馈的设施中提取出来,添加进更为传统的SIEM数据中去,这样的想法在攻击者看来会不会只是种令人眼花缭乱的虚招假式,对于安全保障其实并无实质性改进呢?
“人们不可能从SIEM工具中得到自己想要的答案,”Forrester公司分析师John Kindervag如是说。他表示,新的变革浪潮必将来临,但SIEM工具只是其中的一部分。
在出席RSA大会的全部分析师中,来自企业战略集团的Jon Oltsik则成为最坚定的怀疑论者,他对大数据能成为APT问题的答案表示完全不可理解。
“获取到的信息数据肯定会大量增加,这一点我并不反对,但问题在于,这些数据到底能说明什么,”Oltsik评论道。他认为,企业中的首席信息安全官(简称CISO)如今还对大数据将成为某种意义上的安全救星之类的想法不太感兴趣。“当我与CISO们讨论并陈述大数据的安全益处时,他们根本就是在当笑话来听,”他告诉我们。
尽管存在不少负面意见,但某些大数据的早期部署工作已经让我们看到了其在保障信息安全方面的希望。
Zions Bancorporation公司已经成立了一个规模庞大的信息库,用于将实时安全保障的主动分析功能与业务数据相结合,以定位网络钓鱼攻击、防止欺诈行为并抵御黑客侵入。根据去年十月的通报,该信息库以Zettaset数据仓库为基础,而这套数据仓库正是一款利用Hadoop打造而成的数据密集型分布式应用程序。Zions公司首席安全官Preston Wood将其形容为一种对当前SIEM工具的强化方案,并会出于安全目的对大量历史业务数据进行监控。
包括NetIQ在内的诸多SIEM产品供应商,纷纷表示自己对于大数据将带来的影响非常清楚,并认为新的安全时代即将来临。
“这是SIEM产品发展的必然方向,”NetIQ公司产品管理部门总监Matt Ulery指出,这家企业推出的SIEM产品名为Sentinel。Ulery认为目前业界正在尝试将商务智能与SIEM统一起来,并进行新一轮投资改造。大数据能够检测出正常运行情况之外的蛛丝马迹,而Sentinel 7.0的特色也正是将数据与更多背景信息结合起来,Ulery如是说。
“但我们怎样给‘好’下定义?”Ulery设问道,能够揪出某个“正打算劫持账户”的攻击者算得上好吧?但问题在于如何界定这一操作行为到底是来自员工还是攻击者?他表示,隐匿攻击行为本身每天出现的时间可能最多几秒钟,所以我们的目标是正确定义哪些对象是可信任的内部人员、而哪些才是真正的攻击者。大数据在这方面相当擅长,能为我们提供大量必要援助。
但Ulery同时补充称,要让大数据在安全方面取得突破似乎还需要解决一些现实问题,这也正是讨论话题中最难以逾越的障碍。
最现实的阻碍之一就是当前在企业中遍地开花的云计算,数据一旦进入云计算平台,传统SIEM方案将很难对其加以追踪及分析,这就等于从根源上破坏了SIEM的保护机制。另一大现实问题在于,安全管理者们希望大数据能够与他们预先制订的数据管理策略与意向相吻合,这一点在目前仍然算是非常尖端的技术难题。在这样一个产业链上下游密切相关的时代,是否允许移动设备以“自带设备办公”形式出现等问题所影响的已经不仅仅是企业自身的业务,更会成为管理领域的又一大难题。而有鉴于此,大数据的采用也已然变成不得不从的必然结果。该来的总会来,我们不妨共同期待它在安全领域的实际表现。
原文名:Can big data nab network invaders?
转载链接:http://www.cioage.com/art/201203/96400.htm