众所周知,安全问题是企业至今难以解决的挑战之一。在过去的三十年里,尽管有超过数十亿的投资用于安全技术的研发领域,可是黑客问题却似乎变本加厉。这种威胁在每个企业的任何时段都存在着。
而更危险的是,黑客如今比以往任何时段变得更为难缠,他们的攻击已经不再仅仅依靠漏洞扫描和网络渗透,而是有了新的途径。然而,大多数公司所使用的传统安全工具却依然在关注着以往的几点,却忽略了现如今环境变化而导致的安全环境的复杂化。
目前大多数的工具是基于用户签名、检测和响应规则等进行安全防护的。可是现代复杂的连锁供给面前,这些防御手段轰然崩塌。如今的攻击包含了更多的阶段,例如侦测、破解、获取特权、内部平行传播、漏洞筛选以及持久访问等多方面都会成为黑客的入侵通道。
而如今,大量的安全博弈及创新都产生在开源的世界里,双方知己知彼,争斗日趋激烈。而这种情况下,日益兴起大数据对安全问题的帮助开始显现。
利用数据寻找异常点
目前我们的数据在存储和分析时会分为结构化数据和非结构化数据,以此对数据进行打标签。然后,让系统通过机器学习和深度学习算法的检测系统正常和异常模式,因此凡是通过网络传播的广告流、买家情绪分析、人脸识别算法、预测流行性病毒及恶意建模软件等一旦存在异常,系统可基于基本数据迅速检测并提醒,改变传统的发现问题模型。
数据之中找异常
那么为什么要找到异常点呢?以客户消费情绪分析为例,电商平台会努力找到客户正常的购买行为进行分析。但是,正常和异常的便捷如何界定呢?这就需要一数据为基础进行甄别。
同样,如果能够以此甄别出异常的买家,那么也可以以此甄别出异常的数据值。一般来讲,安全厂商和专业人士所使用的数据和算法本质是相同的,相同的数据、相同的技术、相同的分析模型,问题在于,黑客也知道。因此依赖于数据甄别出异常值,这就变得至关重要。
确保数据的真实性
安全解决方案所需要监测的数据务必是真实而无任何加工的。对安全专家而言,一些细微的数据变化或许很难发现,因此,系统必须利用机器学习掌握数据最原始的动态,而并非是简单的分析过滤后的数据流。
如果建立分析模型和行为概要文件来区分异常行为,是检测原始行为的重要环节。而这一点是传统安全产品中的固有短板,太多的安全工具是建立在温室里的,其对异常行为的分析往往是基于过滤后的数据流。因此,安全分析解决方案如何收集数据、分析的数据是否是真正原始的数据才是评价安全工具是否可靠的关键。
自动化搞定原始数据
但是另一个问题也就随之而产生了,那就是对于大多数组织来讲,异常数据实在是太多,而由此引发的警报数据频率过快,一些事件响应的实在太小,安全事件分了和地址监控过于敏感。
一般来讲,公司每秒能够生成成千上万次的警报,一般来讲,大公司每天能够产生的警报次数超过百万起,而如果让人来进行逐一甄别,则需要耗费大量的精力来进行。同时,由于大多数的警报仍然是未经检验的,其目的和意图很难让公司发觉,一些隐藏威胁很可能成为漏网之鱼。
那么如何让安全团队处理更大比例的警报?是否要优先考虑最严重的潜在危机?目前最简单也是行之有效的办法就是采用自动化策略,通过积极的自动化检测和警报响应,让安全人员的活动频次降低,避免了顾此失彼。
通过关注异常,对所有的可用数据进行检测,完成集成和自动化的情况下,安全事件响应团队和企业则可以更好的面对现代复杂的攻击链。但这并不是万能的办法,因为黑客也在看着这些变化。
(责任编辑:宋编辑)