大數(shù)據(jù)安全分析重塑安全防護(hù)架構(gòu)論文

　　啟明星辰泰合產(chǎn)品本部產(chǎn)品總監(jiān)葉蓬認(rèn)為，信息安全的大數(shù)據(jù)化、傳統(tǒng)安全分析面對(duì)新型威脅的缺陷、情境感知和智能安全的發(fā)展大勢(shì)，使得大數(shù)據(jù)安全分析迅速進(jìn)入了網(wǎng)絡(luò)安全領(lǐng)域。而一旦網(wǎng)絡(luò)安全遇到大數(shù)據(jù)安全分析，就必然被深刻地影響并重塑。這種重塑體現(xiàn)在安全防護(hù)架構(gòu)、安全分析體系和業(yè)務(wù)模式等諸多方面。在大數(shù)據(jù)安全分析重塑安全防護(hù)架構(gòu)方面，葉蓬認(rèn)為主要體現(xiàn)在以下六個(gè)方面。

　　一是大數(shù)據(jù)安全分析重塑SIEM和安管平臺(tái)。

　　在所有網(wǎng)絡(luò)安全領(lǐng)域中，大數(shù)據(jù)安全分析對(duì)安全管理平臺(tái)(SOC平臺(tái)、安管平臺(tái))和安全信息與事件分析(SIEM)系統(tǒng)的影響最為深遠(yuǎn)。

　　傳統(tǒng)的SIEM和安管平臺(tái)由于其核心的安全事件采集、分析及存儲(chǔ)引擎的架構(gòu)是針對(duì)中小數(shù)據(jù)集合而設(shè)計(jì)的，在面對(duì)大數(shù)據(jù)的時(shí)候運(yùn)行乏力，難以為繼。SIEM和安管平臺(tái)都具有安全事件(日志)的采集、存儲(chǔ)、分析、展示等幾個(gè)過程，正好與大數(shù)據(jù)分析的收集、存儲(chǔ)、分析和可視化過程完全相同。因此，SIEM和安管平臺(tái)天然具有應(yīng)用大數(shù)據(jù)分析技術(shù)的特質(zhì)。而將傳統(tǒng)SIEM和安管平臺(tái)的安全事件采集、分析及存儲(chǔ)引擎更換為大數(shù)據(jù)分析引擎后，SIEM和安管平臺(tái)被帶到了一個(gè)全新的高度，進(jìn)入大數(shù)據(jù)時(shí)代。

　　大數(shù)據(jù)安全分析技術(shù)的運(yùn)用已經(jīng)成為未來SIEM和安管平臺(tái)的關(guān)鍵技術(shù)發(fā)展趨勢(shì)之一。

　　二是大數(shù)據(jù)安全分析推動(dòng)高級(jí)威脅檢測(cè)。

　　傳統(tǒng)的安全分析是構(gòu)建在基于特征的檢測(cè)基礎(chǔ)之上的，只能做到知所已知，難以應(yīng)對(duì)高級(jí)威脅的挑戰(zhàn)。而要更好地檢測(cè)高級(jí)威脅，就需要知所未知，這也就催生了諸如行為異常分析技術(shù)的發(fā)展。行為異常分析的本質(zhì)就是一種機(jī)器學(xué)習(xí)，自動(dòng)建立起一個(gè)正常的基線，從而去幫助分析人員識(shí)別異常。面對(duì)天量的待分析數(shù)據(jù)，要想達(dá)成理想的異常分析結(jié)果，借助大數(shù)據(jù)分析技術(shù)成為明智之舉。

　　同時(shí)，為了對(duì)抗高級(jí)威脅，還需要有長(zhǎng)時(shí)間周期的數(shù)據(jù)分析能力，而這正是大數(shù)據(jù)分析的優(yōu)勢(shì)所在。

　　此外，安全分析人員在進(jìn)行高級(jí)威脅檢測(cè)的過程中需要不斷地對(duì)感興趣的安全數(shù)據(jù)進(jìn)行數(shù)據(jù)勘探，而要針對(duì)天量數(shù)據(jù)實(shí)現(xiàn)即席的交互式分析，需要有強(qiáng)大的數(shù)據(jù)查詢引擎，這同樣也是大數(shù)據(jù)分析的優(yōu)勢(shì)所在。

　　三是大數(shù)據(jù)安全分析促進(jìn)欺詐檢測(cè)。

　　客戶業(yè)務(wù)的日益復(fù)雜和線上業(yè)務(wù)的不斷豐富，使得欺詐檢測(cè)遭遇了前所未有的挑戰(zhàn)�，F(xiàn)代的欺詐檢測(cè)系統(tǒng)大都具備基于行為輪廓的異常檢測(cè)能力，而對(duì)天量的用戶、賬號(hào)、實(shí)體、業(yè)務(wù)的訪問行為信息進(jìn)行建模絕非易事，大數(shù)據(jù)技術(shù)的引入有助于提升建模過程的速度和準(zhǔn)確度。大數(shù)據(jù)安全分析技術(shù)正在重塑欺詐檢測(cè)系統(tǒng)。

　　四是大數(shù)據(jù)安全分析增強(qiáng)各類安全產(chǎn)品。

　　除了前面提及的已經(jīng)顯著受到大數(shù)據(jù)技術(shù)影響的安全防護(hù)系統(tǒng)之外，很多傳統(tǒng)的安全防護(hù)系統(tǒng)也同樣正在引入大數(shù)據(jù)安全分析技術(shù)。

　　借助大數(shù)據(jù)安全分析技術(shù)，DLP系統(tǒng)將變得更加智能，不僅能夠?qū)σ呀?jīng)標(biāo)定的敏感信息進(jìn)行檢測(cè)，還能對(duì)用戶使用數(shù)據(jù)的行為過程進(jìn)行建模，從而針對(duì)更多地難以進(jìn)行簡(jiǎn)單標(biāo)定的敏感信息的訪問進(jìn)行異常檢測(cè)。

　　借助大數(shù)據(jù)安全分析技術(shù)，通過對(duì)DAM系統(tǒng)收集到的海量數(shù)據(jù)庫訪問日志進(jìn)行業(yè)務(wù)建模，從而識(shí)別用戶的業(yè)務(wù)違規(guī)，使得DAM系統(tǒng)的價(jià)值得到進(jìn)一步提升。

　　借助大數(shù)據(jù)安全分析技術(shù)，能夠?qū)崿F(xiàn)針對(duì)IAM和4A系統(tǒng)的用戶違規(guī)智能審計(jì)。通過對(duì)IAM和4A系統(tǒng)的海量用戶訪問日志進(jìn)行建模和機(jī)器學(xué)習(xí)，發(fā)現(xiàn)小概率的異常事件。

　　借助大數(shù)據(jù)安全分析技術(shù)，還能夠提升靜態(tài)應(yīng)用安全測(cè)試(SAST)系統(tǒng)的檢測(cè)速率，并能夠通過高效地聚類/分類等算法更好地尋找應(yīng)用系統(tǒng)的安全漏洞。

　　五是大數(shù)據(jù)安全分析激發(fā)網(wǎng)絡(luò)威脅情報(bào)分析與協(xié)作。

　　隨著高級(jí)威脅的日益泛濫，尤其是網(wǎng)絡(luò)空間安全對(duì)抗逐步上升到專門組織、國(guó)家層面，很多傳統(tǒng)的犯罪分析和戰(zhàn)爭(zhēng)的理論及戰(zhàn)略戰(zhàn)術(shù)被不斷引入網(wǎng)絡(luò)空間安全之中。這其中，最顯著的一個(gè)趨勢(shì)就是網(wǎng)絡(luò)威脅情報(bào)的興起。

　　Gartner認(rèn)為，威脅情報(bào)是一種基于證據(jù)的知識(shí)，包括了情境、機(jī)制、指標(biāo)、隱含和實(shí)際可行的建議。威脅情報(bào)描述了現(xiàn)存的、或者是即將出現(xiàn)針對(duì)資產(chǎn)的威脅或危險(xiǎn)，并可以用于通知主體針對(duì)相關(guān)威脅或危險(xiǎn)采取某種響應(yīng)。

　　威脅情報(bào)最大的好處就是能夠直接作用于企業(yè)和組織的安全防護(hù)設(shè)施，實(shí)現(xiàn)高效快速的威脅檢測(cè)和阻斷。

　　但是威脅情報(bào)信息的獲得絕非易事。專業(yè)的威脅情報(bào)服務(wù)提供商能夠采集互聯(lián)網(wǎng)上的各種數(shù)據(jù)，既包括淺層Web，也包括深層Web，甚至是暗網(wǎng)(Dark Web)的數(shù)據(jù)，抑或是授權(quán)客戶的數(shù)據(jù)，然后基本上都利用大數(shù)據(jù)分析技術(shù)產(chǎn)生有關(guān)攻擊者的威脅情報(bào)信息。

　　誰也不可能獨(dú)立獲得最全的威脅情報(bào)，就像我們的反恐或者犯罪調(diào)查一樣，各個(gè)情報(bào)組織間的合作至關(guān)重要。網(wǎng)絡(luò)威脅情報(bào)亦是如此。利用大數(shù)據(jù)分析技術(shù)，有的廠商建立起一個(gè)威脅情報(bào)的分享和協(xié)作平臺(tái)，進(jìn)行威脅情報(bào)的交換，更大限度地發(fā)揮情報(bào)的價(jià)值。

　　簡(jiǎn)言之，借助大數(shù)據(jù)安全分析技術(shù)，威脅情報(bào)分析與共享這個(gè)新興的安全分析領(lǐng)域獲得了突飛猛進(jìn)的進(jìn)步，當(dāng)前正處于聚光燈下。

　　六是大數(shù)據(jù)安全分析造就大數(shù)據(jù)安全分析平臺(tái)。

　　大數(shù)據(jù)安全分析不僅重塑著傳統(tǒng)的安全防護(hù)系統(tǒng)，催化著威脅情報(bào)，有時(shí)候也顯性化地表現(xiàn)為一個(gè)專有的分析平臺(tái)。

　　如前所述，大數(shù)據(jù)安全分析不是一個(gè)產(chǎn)品分類，而代表一種技術(shù)，各種安全產(chǎn)品都能夠運(yùn)用大數(shù)據(jù)安全分析技術(shù)。在一個(gè)較為完備的基于大數(shù)據(jù)安全分析的解決方案中，通常會(huì)有一個(gè)大數(shù)據(jù)安全分析平臺(tái)作為整個(gè)方案的核心部件，承載大數(shù)據(jù)分析的核心功能，將分散的安全要素信息進(jìn)行集中、存儲(chǔ)、分析、可視化，對(duì)分析的結(jié)果進(jìn)行分發(fā)，對(duì)分析的任務(wù)進(jìn)行調(diào)度，將各種分散的安全分析技術(shù)整合到一起，實(shí)現(xiàn)各種技術(shù)間的互動(dòng)。此時(shí)，通常意義上的SIEM(安全信息與事件分析系統(tǒng))、安全運(yùn)營(yíng)中心(SOC、安管平臺(tái))、DLP(數(shù)據(jù)防泄露系統(tǒng))、4A系統(tǒng)(認(rèn)證、賬號(hào)、授權(quán)、審計(jì))等都在這個(gè)大數(shù)據(jù)安全分析平臺(tái)之下。

【大數(shù)據(jù)安全分析重塑安全防護(hù)架構(gòu)論文】相關(guān)文章：

分析電子商務(wù)中的數(shù)據(jù)安全論文04-26

基于智能體服務(wù)的云計(jì)算架構(gòu)分析論文10-10

鑒于建筑施工安全分析論文10-11

信息安全工程分析論文10-11

關(guān)于面向智能電網(wǎng)的物聯(lián)網(wǎng)架構(gòu)分析論文10-11

廣播電視安全播出分析論文11-13

實(shí)驗(yàn)數(shù)據(jù)的計(jì)量經(jīng)濟(jì)分析挑戰(zhàn)與機(jī)遇論文10-10

Hadoop物聯(lián)網(wǎng)數(shù)據(jù)挖掘的算法分析論文10-10

大數(shù)據(jù)時(shí)代銀行信息安全保護(hù)探究論文10-11

大數(shù)據(jù)信息安全風(fēng)險(xiǎn)框架及策略論文10-11