香港六合彩心水网
  • 收藏
  • 設為首頁
  • 工作郵箱
微信公眾號
分享
[字體: ]
分享到:
分享
大數據驅動的威脅態勢感知
來源:大數據發展部 ??時間:2019-01-17

 

20123月,全球最具權威的IT研究與顧問咨詢公司高德納(Gartner)發表了一份題為《信息安全正在成為一個大數據分析問題(Information Security Is Becoming a Big Data Analytics Problem)的報告,表示當前真正的信息安全問題正在由大數據來解決,大數據的出現將對信息安全產生深遠的影響。從企業級信息系統威脅態勢感知的發展歷史我們可以看出目前大數據在信息安全領域已經變的不可或缺了。

第一階段:安全信息和事件管理(Security Information and Event Management)階段

安全信息和事件管理(SIEM)產品和服務結合了安全信息管理(Security Information Management)和安全事件管理(Security Event Management)。它們提供應用程序和網絡硬件生成的安全警報的實時分析。

安全信息和事件管理產品及服務負責從大量企業安全控件、主機操作系統、企業應用和企業使用的其他軟件收集安全日志數據,并進行分析和報告。有些SIEM還可以試圖阻止它們檢測到正在進行的攻擊,在一定程度上幫助阻止破壞或者限制成功攻擊可能造成的損壞。

安全信息和事件管理的功能有:

數據聚合:日志管理聚合來自多個來源的數據,包括網絡,安全,服務器,數據庫,應用程序等,提供整合監控數據的能力,以幫助避免錯過關鍵事件。

相關性:查找公共屬性,并將事件鏈接到有意義的包中。該技術提供了執行各種相關技術以集成不同來源的數據的能力,以便將數據轉換為有用信息。相關性通常是完整SIEM解決方案中安全事件管理部分的函數。

警報:自動分析相關事件和警報,以通知收件人緊急問題。警報可以是儀表板,也可以通過電子郵件等第三方渠道發送。

儀表板:工具可以將獲取的事件數據轉換為信息圖表,以幫助查看或識別。

合規性:可以使用應用程序自動收集合規性數據,按照已有的安全,管理和審計流程生成報告。

保留:使用歷史數據的長期存儲來促進數據隨時間的關聯,并提供合規性要求所需的保留。長期日志數據保留在法醫調查中至關重要,因為在發生違規時不太可能發現網絡泄露。

取證分析:能夠根據特定條件在不同節點和時間段上搜索日志。這減輕了必須通過人力聚合日志信息或搜索成千上萬的日志。

這一階段主要是整合了應用程序和網絡硬件生成的安全警報,當攻擊已經侵入到系統中時能及時報警。嚴格意義上來講,還無法做到威脅態勢的感知。

第二階段:信息安全運營中心/安全運營中心(Information Security Operations Center / Security Operations Center)階段

安全運營中心是指為保證信息資產的安全,采用集中管理方式統一管理相關安全產品,搜集所有安全信息,并通過對收集到各種安全事件進行深層的分析、統計和關聯、及時反映被管理資產的安全基線,定位安全風險,對各類安全時間及時提供處理方法和建議的安全解決方案。

安全運營中心的主要思想是采用多種安全產品的Agent和安全控制中心,最大化地利用技術手段,在統一安全策略的指導下,將系統中的各個安全部件協同起來,實現對各種網絡安全資源的集中監控、統一策略管理、智能審計及多種安全功能模塊之間的互動,并且能夠在多個安全部件協同的基礎上實現實時監控、安全事件預警、報表處理、統計分析、應急響應等功能,使得網絡安全管理工作由繁變簡,更為有效。

對于大型政企來講,可以運行多個安全運營中心來管理不同的信息和通信技術,或者在一個站點不可用時提供冗余。

安全運營中心和網絡運營中心(NOC)相互補充,協同工作。網絡運營中心通常負責監控和維護整個網絡基礎架構,其主要功能是確保不間斷的網絡服務。安全運營中心負責保護網絡,網站,應用程序,數據庫,服務器和數據中心以及其他技術。

安全運營中心主要負責以下三個方面:

控制——通過合規性測試,滲透測試,漏洞測試等關注安全狀態。

監控——通過日志監控,SIEM管理和事件響應來關注事件和響應

運營——專注于運營安全管理,如身份和訪問管理,密鑰管理,防火墻管理等。

這一階段集中管理相關安全產品,搜集所有安全信息,并對收集到信息進行分析和處理,在一定程度上可以做到安全事件的預警。

當前階段:安全智能中心(Security Intelligence Center)階段

今天的信息安全領域都面臨著諸多挑戰。一方面,企業安全架構日趨復雜,各種類型的安全設備越來越多、產生的安全數據也越來越多,已經多到用傳統的分析方法無法及時處理這些數據;但另一方面,一些新型威脅的興起,內控與合規的深入,為了做出更準確的判定和及時的響應,需要獲取、保存與分析更多的安全信息。因此信息安全問題正在逐漸變成一個大數據分析問題,大規模的安全數據需要被有效地關聯、分析和挖掘,才能應對當前在信息安全領域的挑戰。

對于一些難以察覺的安全威脅,用傳統的方法會耗費數天甚至數月的時間才能發現,因為大量的互不相干的數據流難以形成簡明、有條理的事件脈絡。所采集和分析的數據量越大,就越難看出他們之間是否有聯系,重構事件所需的時間也越長。當遭到像快速傳播的蠕蟲這樣快速且兇猛攻擊,如果要花數天或數月來診斷問題,會造成巨大的合規和財務影響。哪些資產真正處于威脅風險中,哪些資產有補救控制或應對措施?要知道這些問題,管理員需要監控所有系統的安全狀況,包括訪問其網絡的移動設備和個人擁有設備,并及時確定優先級和補救措施。

大數據的出現有效地解決了上述問題,因為大數據具有以下優點:

1)擴大了分析內容的范圍。傳統的威脅分析主要針對的內容為各類安全事件。一個企業的信息資產則包括數據資產、軟件資產、實物資產、人員資產、服務資產和其他為業務提供支持的無形資產。由于傳統威脅檢測技術的局限性,其并不能覆蓋這6類信息資產,因此所能發現的威脅也是有限的。通過在威脅檢測方面引入大數據分析技術,可以更全面地發現針對這些信息資產的攻擊。比如,通過對企業的客戶部訂單數據的分析,能夠發現一些異常的操作行為,進而判斷是否危害公司利益。所以說分析內容范圍的擴大使得基于大數據的威脅檢測更加全面。

2)可分析時間跨度更長的內容。現有的許多威脅分析技術都是內存關聯性的,也就是說實時收集數據,采用分析技術發現攻擊。分析窗口通常受限于內存大小,無法應對持續性和潛伏性攻擊。引入大數據分析技術后,威脅分析窗口可以橫跨若干年的數據,因此威脅發現能力更強,可以有效應對高級持續性威脅(APT)類攻擊。

3)增加了攻擊威脅的預測性。傳統的安全防護技術或工具大多是在攻擊發生后對攻擊行為進行分析和歸類,并做出響應。基于大數據的威脅分析,可進行超前的預判,它能夠尋找潛在的安全威脅,對未發生的攻擊行為進行預防。

4)甚至可以檢測到未知的威脅。傳統的威脅分析通常是由經驗豐富的專業人員根據企業需求和實際情況展開,然而這種威脅分析的結果很大程度上依賴于個人經驗。同時,分析所發現的威脅也是已知的。大數據分析的特點是側重于普通的關聯分析,而不側重因果分析,因此通過采用恰當的分析模型,可發現未知威脅。

隨著云計算與大數據的發展,安全智能中心成為企業級威脅態勢感知平臺。安全智能中心以大數據為技術支持,以企業的業務為核心,進行實時的異常檢測,實現安全分析智能化與威脅可視化,并提供威脅情報共享、安全臺式感知和高級威脅偵測分析等服務。

從安全運營中心(SOC)轉化到安全智能中心(SIC),其主要差別在:

1.  利用威脅情報智能分析而不是單純依賴安全廠商和告警反饋;

2.  從基于規則匹配向數據建模、機器學習智能化的轉變;

3.  從短時間狀態監控向長周期趨勢變化及動態基線轉變;

4.  從單一安全事件監控向整體安全態勢感知的轉變;

5.  從依靠自身安全能力為向威脅情報共享,風險預測的轉變。

目前IT環境正在發生深刻變化,移動化、外部協作、虛擬化、云計算、移動互聯化、黑色產業鏈這六種趨勢,正在重塑傳統的IT架構,從而也驅動信息安全防護策略向自適應安全及場景感知的方向發展,尤其是威脅也在發生深刻變化。

針對以上這些新型威脅特征,立體化、可視化防護架構已經被廣大用戶所接受。一方面通過云安全和大數據分析技術提高了傳統網關、網絡、端點等縱向攔截面的威脅識別能力。另一方面還加入了云數據中心、虛擬化主機和應用層的威脅深度偵測技術。從多個層面確保業務安全、數據安全,進而幫助用戶識別、分析、攔截每一個非法的業務信息流或是端點的可疑行為。

當今的高級威脅需要新的層次化防御模型使用主動參與技術在網絡、負載和終端三個層面進行防御,綜合使用兩個或者三個層次的解決方案可以提供更為有效的高級威脅防御能力。

 

 

北京中聯潤通信息技術有限公司簡介:公司成立于2009年,是中國領先的大數據綜合服務提供商,長期服務于國家政府部門、地方政府和大型企業,在海南、重慶、上海等地與地方政府及國企單位合作成立了多個分支機構,中聯潤通專注于產業經濟、空港經濟、價格監管、智慧園區、扶貧、醫療等大數據解決方案,致力于推動數字社會建設。

 

本文發表于由國家信息中心數字中國研究院編輯出版的《數字中國建設通訊》2018年第2

 

香港六合彩心水网 今天广西快3开奖结果 福彩3d试机号直播 吉林时时彩查询结果 秒速时时彩有官网吗 海南七星彩开奖结果 破解pk10拾一漏洞 金七乐奖金表 广东11选五走势图前三组选 精选一肖一码图片 2020海南封岛是真的吗