寻找一名具有数据研究经验的安全分析师以应对现代威胁,就如同寻找一只传说中的独角兽。这人儿压根就不存在。可这是真的么?
三大技能来当安全分析师
最近在金融、医疗、外卖等行业层出不穷的数据泄露事件向我们揭示了现代网络犯罪新特点:精于发现以及利用漏洞(哪怕是最细微的安全缺口)。对于恶意活动来说,检测总是来的慢那么半拍,而公司及客户却已为此付出了沉重的代价。
商界领袖开始寻求更多的首席信息安全官(CISOs)及其他安全工作人员,这点已不足为奇,他们想要组织和资产得到有力的保护。而他们为加强网络安全开始越来越多地利用与整合安全分析。因此,安全分析师们需要以下三个技能:
1、安全专业知识:安全分析师必须理解安全数据、事件响应、攻击向量以及更多;
2、数据科学专业知识:安全分析师需要先进的分析技巧,例如使用机器学习、预测分析算法以及知道如何准备分析数据;
3、MapReduce/Spark/Storm/Hive/Pig 专业知识:安全分析师必须能够编码大量的大数据工具,来优化千兆字节的数据分析。
尽管我可以很有信心地告诉你找一个精通所有领域的安全分析师就像找独角兽,这样的人不存在!而事实上,在安全领域找一个只懂其中一个专业的安全专家,也是不可能的。
未来的挑战
因为隐形网络攻击能够进行几个星期、几个月甚至更长时间而不被发现,安全分析师则必须能够在那漫长的时期内识别和分析攻击类型。他们还必须能够运用视觉想象把“点与点”间的数据进行联系,并且从常规中识别出攻击活动。
另一个问题是每天有成千上万的安全事件针对组织机构发布警告——大多数都不是恶意或者有针对性的攻击活动。而区分真正有针对性的攻击和无恶意事件是极其有难度的,除非安全分析师具备相应的技能与能使他们成为入门级数据专家的工具。
当安全分析师能够就大数据提出一个不错的问题,他们便可以发现攻击序列并且更好地理解这些事件对于业务的影响。
安全分析师具有这些技能后可以更好地运用在他们的安全领域:分析安全事故、发现威胁根源并且能够在对手挖出具有更高价值的漏洞前将其识破。
因此,分析师希望利用大数据来应对现代战斗中的威胁,至于仍需磨练的数据探索,则可以遵循以下:
确定攻击的顺序:安全分析师需要分析数据周围事件的异常,通过把信息、用户及业务应用数据包括到内容中去,他们便可得出一个安全事件影响的结论。
提许多问题并迅速得到答案:安全分析师必须进行基于假设和猜想的安全研究调查。他们要根据需求提出尽可能多的问题,然后得到快速响应,并迅速将研究焦点集中于这些响应上面。
从大量数据中获得见解:在许多组织中,IT、用户和业务应用程序的安全事件和审计日志数据每天累计可达10TB。考虑到一个数据泄露时间大致为243天,安全分析师需要对十二个月内的千兆字节数据进行异常和模式检测。
将安全事件转化为业务影响:安全分析师需要对IT、用户及业务应用程序数据及安全事件数据有一个集中的掌握。多结构数据必须共处在一个数据库中进行转化或联系,这样安全调查结果便是其对业务影响的结果。
寻找独角兽
独角兽是神话里的一种动物,但深知安全领域专业知识的安全分析师绝对是存在在现实社会中的。当一个怀揣“十八般武艺”的安全分析师研究大数据安全分析时,你的企业便可掌握一个完整的网络和技术安全风险脉络,并能更快地检测和缓解可能存在的网络攻击。
作者:明明知道
来源:51CTO