大數(shù)據(jù)給我們在對抗入侵方面帶來新希望，覬覦敏感信息的攻擊者們變得更容易落網(wǎng)。

“大數(shù)據(jù)”領域的安全體系具備這樣一種特點：只要企業(yè)能夠將自身與安全相關的事件數(shù)據(jù)與業(yè)務信息倉庫相結合，就完全可以通過對大數(shù)據(jù)的分析揪出那些試圖盜取敏感信息的入侵者。

從安全角度來說，我們當然希望大數(shù)據(jù)能夠在大型數(shù)據(jù)資源庫的日益普及之下，取得更加輝煌的發(fā)展態(tài)勢；而這一切就當前來看主要依靠開源可擴展軟件Hadoop在企業(yè)中的采用情況。隨著大數(shù)據(jù)的人氣一路走高，隨之伴生的一種全新工作崗位也在與Hadoop相關的IT領域衍生出來，這就是“數(shù)據(jù)科學家”。與傳統(tǒng)的安全專家與分析師有所不同，以大數(shù)據(jù)為主要關注對象的數(shù)據(jù)科學家們所關心的是如何利用工具及知識保障信息安全，并保證隱匿入侵者遠離那些高度敏感的數(shù)據(jù)。

事實告訴我們，在廣闊無垠的網(wǎng)絡世界中追蹤惡意攻擊者可謂大海撈針，而“大數(shù)據(jù)”的出現(xiàn)則讓情況有了一些轉機。不過事情真有這么美好嗎？

來自企業(yè)管理聯(lián)合會的資深分析師Scott Crawford對此充滿信心。“網(wǎng)絡數(shù)據(jù)分析師們能夠發(fā)現(xiàn)異常情況，但無法將這些異常與安全保障機制聯(lián)系起來，”他在最近于舊金山舉行的RSA大會上，在大數(shù)據(jù)與安全輔助作用主題發(fā)言中表達了以上意見。

根據(jù)Crawford的預測，大數(shù)據(jù)領域將最終出現(xiàn)“針對安全算法的新市場”。他指出，像Red Lambda以及Palantir這樣的企業(yè)目前已經(jīng)在通過數(shù)學分析對異常情況進行定位及診斷。

那些“惡意”攻擊者一直在努力將異常狀況隱藏起來，讓網(wǎng)絡中的用戶在看似“正常”的流程中身受其害，而躲在正常背后的陰暗面才是他們的真正目的?，F(xiàn)在，隱匿攻擊者已經(jīng)能夠避開大部分傳統(tǒng)防御機制，例如入侵防御系統(tǒng)、防火墻以及反病毒防御等手段，Gartner公司分析師Neil MacDonald在RSA大會上的相關版塊中做出這樣的提醒。

這些攻擊滲透及竊取高度敏感數(shù)據(jù)的行為勢必帶來毀滅性的嚴重后果，此類手段有時也被稱為先進持續(xù)性威脅（簡稱APT）。從這一方向出發(fā)，惡意人士將能夠有效地隱藏自己在網(wǎng)絡中所實施的邪惡計劃。MacDonal還認為，時至今日，我們已經(jīng)很難根據(jù)表面情況判斷出哪些網(wǎng)絡行為屬于“好的”，而哪些算是“壞的”。“我們必須深入了解正面行為的真正特征”，以切實掌握“與正面行為不符的諸多差異”，他指出。

大數(shù)據(jù)的出現(xiàn)為安全性分析工作提供了新的可行性，這也許意味著目前所通用的大部分安全工具，例如安全信息與事件管理（簡稱SIEM）等，很可能已經(jīng)無法滿足新趨勢的要求。分析師們認為，現(xiàn)在我們亟需一場變革。

MacDonald告訴我們，以上觀點絕不是危言聳聽，其中的某些表述現(xiàn)在已經(jīng)初見端倪，而RSA大會威脅檢測產品NetWitness以及惠普出品的ArcSight SIM等等都開始在這些方面做出改變。包括CrowdStrike公司在內的諸多新興企業(yè)甚至明確表示，他們會以新的方式應對令人頭痛的APT問題。

然而，SIEM類產品的演變真的能為與業(yè)務相關的大數(shù)據(jù)帶來可靠的保障嗎？而將重要的業(yè)務數(shù)據(jù)從一系列防火墻、服務器、IPS等能夠提供有意義反饋的設施中提取出來，添加進更為傳統(tǒng)的SIEM數(shù)據(jù)中去，這樣的想法在攻擊者看來會不會只是種令人眼花繚亂的虛招假式，對于安全保障其實并無實質性改進呢？

“人們不可能從SIEM工具中得到自己想要的答案，”Forrester公司分析師John Kindervag如是說。他表示，新的變革浪潮必將來臨，但SIEM工具只是其中的一部分。

在出席RSA大會的全部分析師中，來自企業(yè)戰(zhàn)略集團的Jon Oltsik則成為最堅定的懷疑論者，他對大數(shù)據(jù)能成為APT問題的答案表示完全不可理解。

“獲取到的信息數(shù)據(jù)肯定會大量增加，這一點我并不反對，但問題在于，這些數(shù)據(jù)到底能說明什么，”Oltsik評論道。他認為，企業(yè)中的首席信息安全官（簡稱CISO）如今還對大數(shù)據(jù)將成為某種意義上的安全救星之類的想法不太感興趣。“當我與CISO們討論并陳述大數(shù)據(jù)的安全益處時，他們根本就是在當笑話來聽，”他告訴我們。

盡管存在不少負面意見，但某些大數(shù)據(jù)的早期部署工作已經(jīng)讓我們看到了其在保障信息安全方面的希望。

Zions Bancorporation公司已經(jīng)成立了一個規(guī)模龐大的信息庫，用于將實時安全保障的主動分析功能與業(yè)務數(shù)據(jù)相結合，以定位網(wǎng)絡釣魚攻擊、防止欺詐行為并抵御黑客侵入。根據(jù)去年十月的通報，該信息庫以Zettaset數(shù)據(jù)倉庫為基礎，而這套數(shù)據(jù)倉庫正是一款利用Hadoop打造而成的數(shù)據(jù)密集型分布式應用程序。Zions公司首席安全官Preston Wood將其形容為一種對當前SIEM工具的強化方案，并會出于安全目的對大量歷史業(yè)務數(shù)據(jù)進行監(jiān)控。

包括NetIQ在內的諸多SIEM產品供應商，紛紛表示自己對于大數(shù)據(jù)將帶來的影響非常清楚，并認為新的安全時代即將來臨。

“這是SIEM產品發(fā)展的必然方向，”NetIQ公司產品管理部門總監(jiān)Matt Ulery指出，這家企業(yè)推出的SIEM產品名為Sentinel。Ulery認為目前業(yè)界正在嘗試將商務智能與SIEM統(tǒng)一起來，并進行新一輪投資改造。大數(shù)據(jù)能夠檢測出正常運行情況之外的蛛絲馬跡，而Sentinel 7.0的特色也正是將數(shù)據(jù)與更多背景信息結合起來，Ulery如是說。

“但我們怎樣給‘好’下定義？”Ulery設問道，能夠揪出某個“正打算劫持賬戶”的攻擊者算得上好吧？但問題在于如何界定這一操作行為到底是來自員工還是攻擊者？他表示，隱匿攻擊行為本身每天出現(xiàn)的時間可能最多幾秒鐘，所以我們的目標是正確定義哪些對象是可信任的內部人員、而哪些才是真正的攻擊者。大數(shù)據(jù)在這方面相當擅長，能為我們提供大量必要援助。

但Ulery同時補充稱，要讓大數(shù)據(jù)在安全方面取得突破似乎還需要解決一些現(xiàn)實問題，這也正是討論話題中最難以逾越的障礙。

最現(xiàn)實的阻礙之一就是當前在企業(yè)中遍地開花的云計算，數(shù)據(jù)一旦進入云計算平臺，傳統(tǒng)SIEM方案將很難對其加以追蹤及分析，這就等于從根源上破壞了SIEM的保護機制。另一大現(xiàn)實問題在于，安全管理者們希望大數(shù)據(jù)能夠與他們預先制訂的數(shù)據(jù)管理策略與意向相吻合，這一點在目前仍然算是非常尖端的技術難題。在這樣一個產業(yè)鏈上下游密切相關的時代，是否允許移動設備以“自帶設備辦公”形式出現(xiàn)等問題所影響的已經(jīng)不僅僅是企業(yè)自身的業(yè)務，更會成為管理領域的又一大難題。而有鑒于此，大數(shù)據(jù)的采用也已然變成不得不從的必然結果。該來的總會來，我們不妨共同期待它在安全領域的實際表現(xiàn)。

原文名：Can big data nab network invaders?    

轉載鏈接：http://www.cioage.com/art/201203/96400.htm