大数据2.0:CISO渴望发现攻击行为

日期: 2013-04-09 作者:Eric B. Parizo翻译:曾少宁 来源:TechTarget中国 英文

以大数据为中心的安全系统是否已成过去式?根据2013 RSA大会上的一个安全专业会议,许多未使用安全性大数据收集系统去发现攻击行为的组织可能已经处于落后位置。   在一次围绕使用大数据实现更优安全监控的讨论中,小组成员讨论了分析大量网络安全事件的重要性。纽约投资银行的CISO Ramin Safai指出,他的公司每秒会有5,000次网络事件,每天会从中捕捉25 TB数据;他的三人网络分析团队通常会注意其中50个问题,其中两人验证它们是否合法。   而在行业的最高领域,eBay的X.commerce部门信息安全官Alex Tosheff指出,他的组织在内部每秒会发现10,000个事件,每天会记录……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

以大数据为中心的安全系统是否已成过去式?根据2013 RSA大会上的一个安全专业会议,许多未使用安全性大数据收集系统去发现攻击行为的组织可能已经处于落后位置。

  在一次围绕使用大数据实现更优安全监控的讨论中,小组成员讨论了分析大量网络安全事件的重要性。纽约投资银行的CISO Ramin Safai指出,他的公司每秒会有5,000次网络事件,每天会从中捕捉25 TB数据;他的三人网络分析团队通常会注意其中50个问题,其中两人验证它们是否合法。

  而在行业的最高领域,eBay的X.commerce部门信息安全官Alex Tosheff指出,他的组织在内部每秒会发现10,000个事件,每天会记录近1 PB的事件数据,这还不包括他所支持的外部“生产”环境,即eBay.com、StubHub.com等。

  所以,为了寻找重要的安全事件,许多组织部署了一些系统,专门用于捕捉最重要的数据——来自网络、终端、数据库、应用和身份与访问管理系统的数据,但是这只是最简单的部分。发现那些极少数预示潜在攻击的事件才是最困难的工作。

  Overstock.com技术副总裁Carter Lee说:“重要的是,您的分析引擎需要与所有最佳组合技术协作。”他指出,开放系统通常优于大型供应商产品,因为大厂商需要长期锁定用户,而且不经常为新威胁升级新补丁。

  Tosheff指出,他的组织已经坚持这种模式5年时间了,而他们组合使用一些非市场销售和自行开发的工具,这些工具使用自定义的规则集,专门用于查找数据泄漏事件。我们尽量与时俱进。这是技术竞赛,过程很有难度,但这是我们一定要做的事情。

  大数据2.0:使用数据发现攻击行为

  但小组成员指出,只是发现恶意事件还不够。伯明翰咨询公司IT-Harvest的Moderator Richard Stiennon指出,他在去年与大型防御供应商合作时首次认识到这一点。他注意到一个趋势,他们用大数据发现和关联一些重要攻击指标,并将它们按行为进行分类——由已知威胁发起人发起的有规律的、多向攻击。

  Tosheff指出,他所在公司的电子犯罪检测小组也具有类似的职责,它将自己的内部情报与外部信息源组合,从中发现各种恶意攻击者,包括欺骗、黑客或数据盗窃。然后,重要结论会被记录到一个通用词典中,并且通过一些机制(如金融服务信息共享与分析中心(FS-ISAC))快速共享到各个行业组中。

  Datashield咨询的CISO Praveen Money说:“跟踪攻击行为非常重要。如果不这样做,那么赶紧开始。这些组合功能可以帮助您检测和防御下一次攻击。通过将事件进行关联和发现通用属性,企业就可以发现攻击者的身份及其后续行为,从而缩短将来检测与响应的时间。重要指标本身并没有太多含义,但是如果将它们关联在一起,您就可以发现一些不良情况。将它们关联后归纳为一个攻击行为,响应就可以取得突破性进展。”

  Splunk比SIEM系统更受欢迎

  有意思的是,几乎所有小组成员都表示,他们都使用成熟的数据包捕捉与分析工具 Splunk作为他们主要的数据分析工具,而不使用昂贵的商业安全信息与事件管理(SIEM)产品。

  Safai指出,即使他的组织将各种日志保存到一个SIEM中,这些数据也会再保存到Splunk中,因为没有其他工具能够处理这样大的数据容量与复杂性。虽然Safai曾经与SIEM供应商沟通过,但是他们都不能够提供与之匹配的功能:快速定位到数据集,查看特定的时间或设备,精确查找某个事件,然后再返回,用这个事件作为起点,寻找一些趋势或类似的事件。

  Safai说:“正是这个功能及其速度决定了我们的选择。我们的SIEM做不到这一点;它很慢,需要24个小时,而Splunk只要2分钟。”Tosheff评价Splunk说:“它与工程师想象的工作方式紧密吻合。它是一个灵活的工具。一个SIEM还无法覆盖所有潜在的数据来源。他说:“您必须努力建立适应您自己环境的工具。您是不可能直接用钱买到这样的工具。”

  迫切需要更多的数据人才

  但是,即使有最佳组合的商业工具与自定义规则集,小组成员仍然认为,还需要有训练有素的天才数据分析人员才能分析这些异常现象和机器无法总能发现的攻击行为。

  而天才数据分析人员可能百里挑一。有一位成员在会议上指出,数据人才是现在IT行业中最吃香的职业。Safai说,选择由大学合作培养的学生负责分析数据,放弃一些实际工作经验,可以在一定程度上缓解这个问题。

  Money说:“从我的经验看,您可以在工程社区发现一些天才数据分析人员。”他指出,他的公司将一些IT人员指派到各种不同的职位上,让他们有机会参与数据分析工具,然后为他们提供各种行业会议的差旅费作为奖励。

  Lee说:“如果您认识18岁的孩子,那么把X-Box游戏机控制器从他们手中拿走,然后告诉他们好好学习进入这个前途无量的领域。”这可能最能够反映整个行业对数据分析天才的缺乏。

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐

  • 两会安全发声:云安全将在非可信环境中构建

    近日,两会安保专家以及绿盟科技叶晓虎博士就这两个方面分享了其关于大数据和云安全发展现状和未来趋势的看法,同时也分享了两会期间安保的基本情况,分析了国家重大安保的形势及态势。

  • 文物交给国家 自主可控牵引大数据安全

    大数据时代,传统SIEM分析已经难以应对APT攻击等位置特征的威胁。单点式的安防系统,或者传统基于黑名单的威胁分析方案已经不足以支撑企业现在的安全环境。企业需要更智能化的解决方案,来应对日益增加的未知安全威胁。

  • 2014趋势科技Codinsanity亚太区程序竞赛决赛在即

    2014趋势科技Codinsanity亚太区程序竞赛决赛在即!今年竞赛主题锁定大数据,将挑战参赛者的海量信息解题能力、刺激参赛者开发出最有效率且正确的程序、并探索新的解决方案以提升信息关联性,展现参赛者的研发创意。

  • 趋势科技帮助中小企业解决大数据时代的安全问题

    趋势科技推出“安全无忧软件7.0”安全套件,帮助中小企业构建完整的安全架构,确保其网络在大数据时代实现‘更安全’。