E安全3月17日文 大数据。这三个字意味着我们也许能够利用纯粹的信息作为下一代问题解决方案。如今围绕大数据产生的炒作之声此起彼伏,许多人认为数据的来源无穷无尽,并由此产生了数据越多越好的结论。
然而事实上,大数据并不能简化安全专业人员的工作强度,反而令他们更加难以招架。
目前的安全工具正在检测大量潜在安全事件,并通过剔除其中冗余数据的方式帮助分析师进行后续梳理与关联点预测。安全分析师们虽然能收集各类事件,但却需要努力过滤掉其中不相关的内容,即试图将重要事件与其它噪声性干扰信息区分开来,这显然不是什么好事。
大型企业仍在遭遇各类安全事故,而剔除干扰信息使得调查工作进度缓慢,甚至需要100天乃至更长时间才能发现已然发生的违规活动。企业多年来一直在努力应对大数据带来的影响,但却收效甚微。
大数据:噪声干扰还是可操作的网络安全信息?-E安全
大集合并不等同于大数据
因为收集所有数据再进行分析需要占用大量的计算机资源,必然导致系统分析速度缓慢。分析错误率也将随当噪声性信息的数量提升开始增加,即表现出大量假阳性结果。
目前尚不存在能够“仔细”筛选相关数据并加以分析还能及时响应的途径。无论您立足怎样的部门或者应用场景,情况都不会发生变化。
即使总体分析结论确实具有成效,但在分析过程中投入的大量人力资源仍然非常昂贵,更不要谈什么成本效益。目前并没有真正能够实时规模化、高效率分析这么多信息的切实的方法。真正重要的安全事件或者威胁常常被淹没在大量数据形成的信息海当中,最终无人知晓,而分析与总体响应速度也因此减慢,组织机构往往只能调查过去而无法解决当前的问题。
CSO们对此感到沮丧万分,他们的CEO则坚持在有限的预算空间之内以实时方式发现并缓解全部潜在威胁因素。这显然是一项不可能完成的任务。
评估每款安全工具的功能在甄别有效信息时尤为重要
事实上,部分安全工具确实更适用于某些特定攻击向量类型,且在其它攻击活动中无法起到良好的作用。
例如,我们无法依赖沙箱工具建立IDS设备及信誉系统功能(虽然不少沙箱产品确实集成有IDS及声誉馈送机制,但其实际效果远无法令人满意)。反之亦然,不要一味信任IPS设备,因为其中一部分由于开发团队的关注取向而更适合追踪权限升级活动,而另一部分则可能更擅长解决DoS缓冲区溢出攻击向量。更多全球网络安全资讯尽在E安全门户网站www.easyaq.com
问题的关键在于了解并评估每款安全工具的功能,包括其检测能力、调查能力以及缓解/修复能力,在获得切实可信的结论之后,建立情报层以确保攻击活动中的每一项步骤皆能够被及时发现并解读其意图,而后将其与最佳安全响应举措(即最佳工具中的对应功能)进行关联,这将大大提升利用大数据解决安全问题的实际效果。
这一处理方式允许我们从工具中收集相关性最高的数据集,并利用其处理最为紧迫的安全威胁问题。也就是说,我们不再盲目收集所有数据点,而着眼于捕捉质量更高的相关数据。高质量数据能够帮助大家更为高效地追踪事件相关性,并将其与相关度最高且最为有效的安全调查及缓解功能进行对接,这样依赖一切都将因此拥有更理想的精度与实时水平。
简而言之,相较于囤积数据并指望利用企业的业务与安全优势驯服这一庞大的原始资源,未来我们更多需要增加企业的实际能力并改善对针对性攻击意图的解读。只有这样,企业才能在攻击活动的每个阶段建立起最佳响应程序及举措。这种新的模式将能够解决存在于相关行业之内最为实际且最为根本的问题,单纯对大数据的收集反而成为最可怕的风险。
本文转自d1net(转载)