大數(shù)據(jù)決定當(dāng)前網(wǎng)絡(luò)社會(huì)信息安全走向

摘要：大數(shù)據(jù)給信息安全帶來的最大改變是通過自動(dòng)化分析處理與深度挖掘，將之前很多時(shí)候亡羊補(bǔ)牢式的事中、事后處理，轉(zhuǎn)向事前自動(dòng)評(píng)估預(yù)測(cè)、應(yīng)急處理，讓安全防護(hù)主動(dòng)起來。大數(shù)據(jù)對(duì)安全廠商而言，意味著海量日志、黑客攻擊更加隱蔽，同時(shí)也是安全技術(shù)水平提升的有效手段。

　　快速發(fā)展的互聯(lián)網(wǎng)技術(shù)不斷地改變?nèi)藗兊纳罘绞剑欢?，多層面的安全威脅和安全風(fēng)險(xiǎn)也不斷出現(xiàn)。對(duì)于一個(gè)大型網(wǎng)絡(luò)，在網(wǎng)絡(luò)安全層面，除了訪問控制、入侵檢測(cè)、身份識(shí)別等基礎(chǔ)技術(shù)手段，需要安全運(yùn)維和管理人員能夠及時(shí)感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢(shì)。

　　對(duì)于安全運(yùn)維人員來說，如何從成千上萬的安全事件和日志中找到最有價(jià)值、最需要處理和解決的安全問題，從而保障網(wǎng)絡(luò)的安全狀態(tài)，是他們最關(guān)心也是最需要解決的問題。與此同時(shí)，對(duì)于安全管理者和高層管理者而言，如何描述當(dāng)前網(wǎng)絡(luò)安全的整體狀況，如何預(yù)測(cè)和判斷風(fēng)險(xiǎn)發(fā)展的趨勢(shì)，如何指導(dǎo)下一步安全建設(shè)與規(guī)劃，則是一道持久的難題。

　　大數(shù)據(jù)給信息安全帶來的最大改變是通過自動(dòng)化分析處理與深度挖掘，將之前很多時(shí)候亡羊補(bǔ)牢式的事中、事后處理，轉(zhuǎn)向事前自動(dòng)評(píng)估預(yù)測(cè)、應(yīng)急處理，讓安全防護(hù)主動(dòng)起來。大數(shù)據(jù)對(duì)安全廠商而言，意味著海量日志、黑客攻擊更加隱蔽，同時(shí)也是安全技術(shù)水平提升的有效手段。

　　當(dāng)然，在大數(shù)據(jù)給企業(yè)帶來的風(fēng)險(xiǎn)和機(jī)遇同時(shí)，大數(shù)據(jù)也給信息安全發(fā)展帶來了新的機(jī)遇和挑戰(zhàn)。因?yàn)榫W(wǎng)絡(luò)攻擊或非法泄露信息的行為或多或少總會(huì)留下蛛絲馬跡，這些痕跡都以數(shù)據(jù)的形式隱藏在大數(shù)據(jù)中。企業(yè)可以通過對(duì)大量網(wǎng)絡(luò)攻擊事件的分析，找出潛在的風(fēng)險(xiǎn)點(diǎn)，從而制定更好的預(yù)防攻擊、防止信息泄露的策略。但是這有一個(gè)前提，那就是必須保證進(jìn)行網(wǎng)絡(luò)攻擊事件分析所依據(jù)的信息是準(zhǔn)確的、可靠的，如果原始數(shù)據(jù)即已遭到非法篡改，那數(shù)據(jù)分析則會(huì)被誤導(dǎo)，這將使企業(yè)陷入更加糟糕的境地。這說明基于大數(shù)據(jù)的信息安全發(fā)展也是要以信息安全本身為基礎(chǔ)的。

　　企業(yè)IT管理人員一定不會(huì)對(duì)以下這個(gè)場(chǎng)景感到陌生：一名員工在集團(tuán)上海分公司刷卡進(jìn)入公司內(nèi)部，五分鐘后后臺(tái)系統(tǒng)顯示該員工在北京分公司登錄企業(yè)OA系統(tǒng)。孤立地看，這兩件事都不屬于安全事故，但如果將它們聯(lián)系起來，IT人員就會(huì)立刻意識(shí)到問題的嚴(yán)重性，一個(gè)人怎么能在五分鐘內(nèi)從上海飛到北京?企業(yè)信息正面臨泄露風(fēng)險(xiǎn)。

　　如果集團(tuán)的IT系統(tǒng)復(fù)雜，各地分公司每天產(chǎn)生的日志數(shù)量繁多，并且不能集中管理，類似的安全威脅就可能淹沒在幾十萬條安全日志里?，F(xiàn)在，借用大數(shù)據(jù)分析，SIEM(安全信息和事件管理)正在讓這些安全隱患無所遁形。近日，惠普公司宣布將ArcSight與Autonomy進(jìn)行整合，將Autonomy在非結(jié)構(gòu)化數(shù)據(jù)分析上的優(yōu)勢(shì)與ArcSightSIEM相結(jié)合，加強(qiáng)其在情景感知等方面的安全分析能力。

“大數(shù)據(jù)給信息安全防護(hù)帶來的最大改變就是我們通過自動(dòng)化分析處理與深度挖掘相結(jié)合，可以將之前很多時(shí)候亡羊補(bǔ)牢式的事中、事后處理，轉(zhuǎn)向事前自動(dòng)評(píng)估預(yù)測(cè)、應(yīng)急處理，讓安全防護(hù)真正可以主動(dòng)起來?！蹦硨I(yè)人士認(rèn)為，安全廠商應(yīng)該利用這種趨勢(shì)，讓自身的產(chǎn)品方案和大數(shù)據(jù)分析相結(jié)合，形成從數(shù)據(jù)收集分析到安全管理策略下發(fā)，再到效果評(píng)估的一整套安全解決方案，從而完成從銷售相對(duì)孤立產(chǎn)品到真正解決方案式的模式轉(zhuǎn)變。

　　網(wǎng)絡(luò)安全感知能力具體可分為資產(chǎn)感知、脆弱性感知、安全事件感知和異常行為感知4個(gè)方面。資產(chǎn)感知是指自動(dòng)化快速發(fā)現(xiàn)和收集大規(guī)模網(wǎng)絡(luò)資產(chǎn)的分布情況、更新情況、屬性等信息;脆弱性感知?jiǎng)t包括3個(gè)層面的脆弱性感知能力：不可見、可見、可利用;安全事件感知是指能夠確定安全事件發(fā)生的時(shí)間、地點(diǎn)、人物、起因、經(jīng)過和結(jié)果;異常行為感知是指通過異常行為判定風(fēng)險(xiǎn)，以彌補(bǔ)對(duì)不可見脆弱性、未知安全事件發(fā)現(xiàn)的不足，主要面向的是感知未知的攻擊。

　　大數(shù)據(jù)在信息安全領(lǐng)域的應(yīng)用包括宏觀上的網(wǎng)絡(luò)安全態(tài)勢(shì)感知和微觀上的發(fā)現(xiàn)安全威脅，尤其是APT攻擊上。一些企業(yè)認(rèn)為應(yīng)該加強(qiáng)對(duì)大數(shù)據(jù)本身的隱私保護(hù)，有人卻認(rèn)為完全沒有必要，“大數(shù)據(jù)是價(jià)值低密度的數(shù)據(jù)，安全廠商沒有必要保護(hù)大數(shù)據(jù)的安全，而是應(yīng)該利用大數(shù)據(jù)分析來發(fā)現(xiàn)更多安全威脅，這是安全廠商難得的機(jī)會(huì)”。在他看來，大數(shù)據(jù)分析的技術(shù)難度并不大，安全廠商也可以通過購買或合作獲得，“重要的是分析的邏輯，包括查詢條件、查詢時(shí)間的起止點(diǎn)等，這些考驗(yàn)的還是安全廠商的傳統(tǒng)思維”。

（轉(zhuǎn)載）