专家解析:大数据+情景化下的网络安全治理之道

大数据时代的来临,企业不仅要学习如何挖掘数据价值,还要竭尽所能的进行安全整合,以免遭到更强有力的攻击,降低风险。近日,在参加“OWASP
2015中国应用安全论坛——业务安全之大数据分析”会议上,WebRAY创始人权小文先生表示:“任何事物都有存在的两面性,大数据也是如此,虽然黑客盯准了它,但大数据一样可以用来反击。基于大数据分析的内网异常检测技术,已经为有效发现和阻断内网攻击的做好了准备。”

澳门新萄京,APT防范思路“掉头”内网

企业内网承载大量的核心资产和机密数据,虽然用户采用了层层叠加的网络安全防护产品,SOC、监控中心、网管系统、流量分析系统等处处把关,但出现在内网的攻击和泄露事件并未减少。究其缘由,这与内网安全数年来不能改变的传统防护技术有关,更与内网入侵事件所处的场景化有关。

那么,何为“传统”、何为“情景”呢?权小文做出了如下解答:

他指出,“内网防护现状是离散的、非体系化的防护方法,而大量的安全事件或者是内部员工的恶意、无意造成,或者是长期的潜伏或离职意向前的突发行为。因此,要想在内网发现不法人员盗取数据的‘行走轨迹’,就要借助防御APT攻击的思路,针对内网定制化的情景,通过获取样本,建立正常行为模型,然后分析内部网络流量或终端服务器上的行为,做到情景感知,这将是有别于传统防御方案的新起点、后续监测和分析的触发点。”

据了解,APT攻击防范的难点在于,黑客采用了高度定制的代码,有时很可能只适用“一次”,随之潜伏下来,由于没有已知的特征,所以这些攻击很难被传统对检测手段发现。而静态检测无法检测到深度攻击行为,但动态检测由于存在大量的环境组合,无法穷举,所以不应该使用任何一种单独的方法对目标进行检测,这就需要把所有信息关联起来分析。而针对内网环境,WebRAY所倡导的方法,是把有效对付APT攻击的成功经验、关联分析等技术部署在企业内网情景中,而这必然离不开大数据技术作为“支点”。

大数据带来“情景”分析新机遇

内网安全的重要性不言而喻,那么,用户部署安全攻击防护产品、终端病毒的防范、对服务器加固、网络隔离、部署身份认证和安全审计系统,这系列动作的目的又是什么呢?不外乎形成一个有效的流程:预警→监控→溯源→安全事件责任认定。但是,现实与梦想总有差距。

权小文表示,大数据技术应用带来了内网检测预警新形态和新机遇。他说,“由于传统的、基于SOL存储的安全信息无法整合分析,只能对可以定义的数据进行存储,对于不能定义的数据丢弃,在数据的完整性层面势单力薄。而大数据系统采用NoSQL的非结构化存储,这种技术突破了之前SOC等系统采用的SQL存储的模式,可以保存所有数据,保证了数据的完整性。”

作为大数据分析平台,采集与存储阶段都要尽可能保证数据完整性,而WebRAY方案从路由器旁路采集数据流量、服务器状态、安全设备的日志和相关信息,同时采用漏洞扫描器,主动去扫描检测数据,构建大数据分析的因子,提高了判别的准确性。另外,大数据分析也让WebRAY在业内提出了先进的5W1H分析方法,并以此为主线,满足了用户内网安全流程的建设目标,实现了内控管理的情景感知。

5W1H分析系统中的情景感知因素有Who、When、Where、What、Why、How,通过这些因素可有构建出“主体”到“客体”的访问行为情景。主体是人或应用,客体是应用或数据。而情境分析首先关注审计客体和审计动作,即以What和How为主要关联对象,发现任何一个存在的异常现象。这些常见的异常情景包括:登录异常行为(异常时间、异常IP、多IP登录、频繁登录失败等)、业务违规行为(恶意业务订购、业务只查询不办理、高频业务访问、业务绕行等)、共享账号(一个账号短时间换IP,一个IP登了多个账号等)。另外,5W1H分析方法在网络事件中的应用,还可以解决证据的准确性、完整性等问题就,并且通过合并、改变、简化、取消等操作解决证据存储瓶颈。

Post Author: admin

发表评论

电子邮件地址不会被公开。 必填项已用*标注