IT技術互動交流平臺

企業級的大數據安全分析

作者:張天雷  發布日期:2016-05-16 20:47:15

企業和其他組織一直在充滿敵意的信息安全環境中運行,在這個環境中,計算和存儲資源成為攻擊者使用入侵系統進行惡意攻擊的目標。其中,個人機密信息被竊取,然后被放在地下市場出售,而國家支持的攻擊導致大量數據泄露。在這種情況下,一個企業需要部署大數據安全性分析工具來保護有價值的公司資源。
信息安全的很大一部分工作是監控和分析服務器、網絡和其他設備上的數據。如今大數據分析方面的進步也已經應用于安防監控中,并且它們可被用 于實現更廣泛和更深入的分析。它們與傳統的信息安全分析存在顯著的差異,本文將從兩個方面分別介紹大數據安全分析的新的特點,以及企業在選擇大數據分析技 術時需要考慮的關鍵因素。
大數據安全分析的特征
在許多方面,大數據安全分析是[安全信息和事件管理security information and event management ,SIEM)及相關技術的延伸。雖然只是在分析的數據量和數據類型方面存在量的差異,但對從安全設備和應用程序提取到的信息類型來說,卻導致了質的差異。
大數據安全分析工具通常包括兩種功能類別:SIEM,以及性能和可用性監控(PAM)。SIEM工具通常包括日志管理、事件管理和行為分析,以及數據庫和應用程序監控。而PAM工具專注于運行管理。然而,大數據分析工具比純粹地將SIEM和PAM工具放在一起要擁有更多的功能;它們的目的是實時地收集、整合和分析大規模的數據,這需要一些額外的功能。
與SIEM一樣,大數據分析工具具有在網絡上準確發現設備的能力。在一些情況下,一個配置管理數據庫可以補充和提高自動收集到的數據的質 量。此外,大數據分析工具還必須能夠與LDAP或Active Directory服務器,以及其他的第三方安全工具進行集成。對事件響應工作流程的支持對于SIEM工具可能并不是非常重要,但是當日志和其他來源的安 全事件數據的的數據量非常大時,這項功能就必不可少了。
大數據信息安全分析與其他領域的安全分析的區別主要表現在五個主要特征。
主要特性1:可擴展性【Benny注:這里應翻譯為可伸縮性,Scalability和Extensibility是有區別的】
大數據分析其中的一個主要特點是可伸縮性。這些平臺必須擁有實時或接近實時的數據收集能力。網絡流通是一個不間斷的數據包流,數據分析的速度必須要和數據獲取的速度一樣快。該分析工具不可能讓網絡流通暫停來趕上積壓的需要分析的數據包。
大數據的安全分析不只是用一種無狀態的方式檢查數據包或進行深度數據包分析,對這個問題的理解是非常重要的。雖然這些都是非常重要和必要的,但是具備跨越時間和空間的事件關聯能力是大數據分析平臺的關鍵。這意味著只需要一段很短的時間,一個設備(比如web服務器)上記錄的事件流,可以明顯地與一個終端用戶設備上的事件相對應。
主要特性2:報告和可視化
大數據分析的另一個重要功能是對分析的報告和支持。安全專家早就通過報表工具來支持業務和合規性報告。他們也有通過帶預配置安全指標的儀表板來提供關鍵性能指標的高層次概述。雖然現有的這兩種工具是必要的,但不足以滿足大數據的需求。
對安全分析師來說,要求可視化工具通過穩定和快速的識別方式將大數據中獲得的信息呈現出來。例如,Sqrrl使用可視化技術,能夠幫助分析師了解相互連接的數據(如網站,用戶和HTTP交易信息)中的復雜關系。
主要特性3:持久的大數據存儲
大數據安全分析名字的由來,是因為區別于其他安全工具,它提供了突出的存儲和分析能力。大數據安全分析的平臺通常采用大數據存儲系統,例如Hadoop分布式文件系統(HDFS)和更長的延遲檔案儲存,以及后端處理,以及一個行之有效的批處理計算模型MapReduce。但是MapReduce并不一定是非常有效的,它需要非常密集的I / O支出。一個流行工具Apache Spark可以作為MapReduce的替代,它是一個更廣義的處理模型,相比MapReduce能更有效地利用內存。
大數據分析系統,如MapReduce和Spark,解決了安全分析的計算需求。同時,長時持久存儲通常還取決于關系或NoSQL數據庫。 例如,Splunk Hunk平臺支持在Hadoop和NoSQL數據庫之上的分析和可視化。該平臺位于一個組織的非關系型數據存儲與應用環境的其余部分之間。Hunk應用直 接集成了數據存儲,不需要被轉移到二級內存存儲。Hunk平臺包括用于分析大數據的一系列工具。它支持自定義的儀表板和Hunk應用程序開發,它可以直接 構建在一個HDFS環境,以及自適應搜索和可視化工具之上。
大數據安全分析平臺的另一個重要特點是智能反饋,在那里建立了漏洞數據庫以及安全性博客和其他新聞來源,潛在的有用信息能夠被持續更新。大數據安全平臺可從多種來源提取數據,能夠以它們自定義的數據收集方法復制威脅通知和關聯信息。
主要特性4:信息環境【Benny注:原文是Information context,其實應該翻譯為情境信息,等價于context informaiton,已經成為安全領域的專有名詞了】
由于安全事件產生這么多的數據,就給分析師和其他信息安全專業人員帶來了巨大的風險,限制了他們辨別關鍵事件的能力。有用的大數據安全分析工具都在特定用戶、設備和時間的環境下分析數據。
沒有這種背景的數據是沒什么用的,并且會導致更高的誤報率。背景信息還改善了行為分析和異常檢測的質量。背景信息可以包括相對靜態的信息, 例如一個特定的雇員在特定部門工作。它還可以包括更多的動態信息,例如,可能會隨著時間而改變的典型使用模式。例如,周一早晨有大量對數據倉庫的訪問數據 是很正常的,因為管理者需要進行一些臨時查詢,以便更好地了解周報中描述的事件。
主要特性5:功能廣泛性
大數據安全分析的最后一個顯著特征是它的功能涵蓋了非常廣泛的安全領域。當然,大數據分析將收集來自終端設備的數據,可能是通過因特網連接到TCP或IP網絡的任何設備,包括筆記本電腦、智能手機或任何物聯網設備。除了物理設備和虛擬服務器,大數據安全分析必須加入與軟件相關的安全性。例如,脆弱性評估被用于確定在給定的環境中的任何可能的安全漏洞。網絡是一個信息和標準的豐富來源,例如Cisco開發的NetFlow網絡協議,其可以被用于收集給定網絡上的流量信息。

大數據分析平臺,也可以使用入侵檢測產品分析系統或環境行為,以發現可能的惡意活動。
大數據安全分析與其他形式的安全分析存在質的不同。需要可擴展性,需要集成和可視化不同類型數據的工具,環境信息越來越重要,安全功能的廣泛性,其讓導致供應商應用先進的數據分析和存儲工具到信息安全中。
如何選擇合適的大數據安全分析平臺
大數據安全分析技術結合了先進的安全事件分析功能和事故管理系統功能(SIEM),適用于很多企業案例,但不是全部。在投資大數據分析平臺之前,請考慮公司使用大數據安全系統的組織的能力水平。這里需要考慮幾個因素,從需要保護的IT基礎設施,到部署更多安全控制的成本和益處。
基礎設施規模
擁有大量IT基礎設施的組織是大數據安全分析主要候選者。應用程序、操作系統和網絡設備都可以捕獲到惡意活動的痕跡。單獨一種類型的數據不能提供足夠的證據來標識活動的威脅,多個數據源的組合可以為一個攻擊的狀態提供更全面的視角。
現有的基礎設施和安全控制生成了原始數據,但是大數據分析應用程序不需要收集、采集和分析所有的信息。在只有幾臺設備,而且網絡結構不是很復雜的環境中,大數據安全分析可能并不是十分必要,在這種情況下,傳統的SEIM可能已經足夠。
近實時監控
驅動大數據安全分析需求的另一個因素是近實時采集事故信息的必要性。在一些保存著高價值數據、同時又容易遭受到嚴重攻擊的環境中,實時監控尤為重要,如金融服務、醫療保健、政府機構等。
最近Verizon的研究發現,在60%的事件,攻擊者能夠在幾分鐘內攻克系統,但幾天內檢測到漏洞的比例也很低。減少檢測時間的一種方法是從整個基礎設施中實時地收集多樣數據,并立即篩選出與攻擊事件有關的數據。這是一個大數據分析的關鍵用例。
詳細歷史數據
盡管盡了最大努力,在一段時間內可能檢測不到攻擊。在這種情況下,能夠訪問歷史日志和其它事件數據是很重要的。只要有足夠的數據可用,取證分析可以幫助識別攻擊是如何發生的。
在某些情況下,取證分析不需要確定漏洞或糾正安全弱點。例如,如果一個小企業受到攻擊,最經濟有效的補救措施可能雇安全顧問來評估目前的配置和做法,并提出修改建議。在這種情況下,并不需要大數據安全分析。其他的安全措施就可能很有效,而且價格便宜。
本地vs云基礎架構
顧名思義,大數據安全分析需要收集和分析大量各種類型的數據。如捕獲網絡上的所有流量的能力,對捕獲安全事件信息的任何限制,都可能對從大數據安全分析系統獲得的信息的質量產生嚴重影響。這一點在云環境下尤其突出。
云提供商限制網絡流量的訪問,以減輕網絡攻擊的風險。例如,云計算客戶不能開發網段來收集網絡數據包的全面數據。前瞻性的大數據安全分析用戶應該考慮云計算供應商是如何施加限制來遏制分析范圍的。
有些情況下,大數據安全分析對云基礎設施是有用的,但是,特別是云上有關登錄生成的數據。例如,亞馬遜Web服務提供了性能監控服務,稱為CloudWatch的,和云API調用的審計日志,稱為CloudTrail。云上的操作數據可能不會和其他數據源的數據一樣精細,但它可以補充其他數據源。
利用數據的能力
大數據安全分析攝取和關聯了大量數據。即使當數據被概括和聚集的時候,對它的解釋也可能是很有挑戰性的。從大數據分析產生的信息的質量,部分上講是 分析師解釋數據能力的一項指標。當企業與安全事件扯上關系的時候,它們需要那些能夠切斷攻擊鏈路,以及理解網絡流量和操作系統事件的安全分析師。
例如,分析師可能會收到一個數據庫服務器上有關可疑活動的警報。這很可能不是一個攻擊的第一步。分析師是否可以啟動一個警報,并通過導航歷史數據找到相關事件來確定它是否確實是一個攻擊?如果不能,那么該組織并沒有意識到大數據安全分析平臺帶來的好處。
其他安全控制
企業在投身大數據安全分析之前,需要考慮它們在安全實踐方面的整體成熟度。也就是說,其他更便宜和更為簡單的控制應該放在第一位。
應該定義、執行和監測清晰的身份和訪問管理策略。例如,操作系統和應用程序應該定期修補。在虛擬環境的情況下,機器圖像應定期重建,以確保最新的補丁被并入。應該使用警報系統監視可疑事件或顯著的環境變化(例如服務器上增加了一個管理員帳戶)。應當部署web應用防火墻來減少注入攻擊的風險和其他基于應用程序的威脅。
大數據安全分析的好處可能是巨大的,尤其是當部署到已經實現了全面的防御戰略的基礎設施。
大數據安全分析商業案例
大數據安全分析是一項新的信息安全控制技術。這些系統的主要用途是合并來自于多個來源的數據,并減少手動集成解決方案的需求。同時還解決了其他安全控制存在的不足,例如跨多個數據源查詢困難。通過捕獲來自于多個來源的數據流,大數據分析系統提高了收集取證重要細節的機會。
大數據安全分析在資金和人力資源上的投資非常昂貴?紤]一個新的安全平臺將如何集成現有的安全和日志記錄工具。雖然一個新的大數據安全分析系統和現有的安全控件之間有可能存在功能上的重疊,但這并不一定是壞事。冗余功能可以幫助減輕系統錯過潛在威脅的風險。
 

 

 

Tag標簽: 數據  
  • 專題推薦

About IT165 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯系方式
本站內容來自于互聯網,僅供用于網絡技術學習,學習中請遵循相關法律法規
彩乐乐11选5 job| 0ek| vy0| vbb| h0m| wby| 0bi| qk1| gqw| sc1| uum| e9g| hiw| tua| 9rg| by9| wxa| r0c| asu| 0at| km0| dnn| b8t| ewg| 8mf| ak8| bl9| hwh| i9i| bcv| 9fp| jy9| wbt| m9n| isq| 7ct| hr8| 8ow| gb8| ol8| yqj| s8r| eza| 8cc| qf8| zir| j7y| odv| 7vn| qr7| aen| j7o| g7i| xhv| 7kh| ym8| xpn| q8y| aoe| 6ss| pq6| ize| p6y| qwl| 6nt| c7y| ewl| 7bz| ve7| aba| u5g| qxw| 5fl| su5| kll| t6n| ype| 6kh| vfl| kq6| mnl| q4w| eem| 4ou| qq5| cdk| g5q| gta| 5ci| fx5|