大数据安全分析的阶段性建设

基于大数据的安全分析在国内已经火了一段时间,不同行业都在这方面有不少的投入,自建的大数据安全平台项目也屡见不鲜。具体有多少会如Gartner的分析师Anton
Chuvakin认为的那样,大概率归于失败(Why Your Security Data Lake Project Will FAIL:

http://blogs.gartner.com/anton-chuvakin/2017/04/11/why-your-security-data-lake-project-will-fail/ ),这是我们无法知道的。但是否有一条稳妥、坚实的路径可以到达目标,也许更值得讨论。

需要思考的问题

在曾经由被动防御主导的建设阶段里,企业采购了很多防御性安全产品(FW、IPS、WAF、漏洞扫描等),其目的更多的是防御或加固自身。威胁态势的发展告诉企业,当前已经不能一味的停留在这个阶段。持续投资在防御上,不断加高水桶的木板高度并不是最经济、最有效的策略,蓄意的攻击者总是能够发现新的攻击面,进入到企业内部。如何能够尽早的发现这种有效渗透攻击,进行响应分析、及时处理并进一步有针对性的弥补防御的短板,这些将成为组织面对的新目标。此时大家注意到大数据这颗冉冉上升的新星,就把希望寄托在这上面。不可否认,数据驱动确实是新时期安全建设的一个关键因素,但我们也需要认识到,这种从单纯防御向防御、检测、响应、预防全周期转变的过程,涉及到数据、工具和使用工具的人三方面的提升,是个相对复杂的系统工程。必须理清几方面的问题:

  • 要监控的关键威胁是什么?
  • 涉及的分析方法有哪些、这些分析方法又需要哪些数据?
  • 需要什么样的平台系统来支持分析工作,平台选择的关键能力指标有哪些?
  • 现有技术能力下建立起的平台,适合怎样的人来使用,是否已经具备这样的人员,是否能够·购买相应的安全服务?
  • 采集数据和人员水平受限情况下,如何选择切实的目标保障有实际的效果?

在实际工作中,对这几方面的认识往往需要一个实践摸索的过程,难以做到一步到位,就如Facebook就在数据平台上有过不断的摸索过程(It’s Time to Stop Using Hadoop for Analytics:https://www.interana.com/blog/stop-using-hadoop-analytics/ )。因此分阶段实施,由易到难也许是一个更好的方式。下面介绍可能涉及到的几个阶段,在实际工作中也许可以多个阶段并行,但应该很难出现跳跃式的发展。

IOC情报阶段

质量优秀的IOC情报(也称失陷主机检测情报)具有及时、全面、精准、具备相关性且提供指导响应活动的上下文这些特点。利用这类情报我们能够尽早地检测内部的失陷主机(无论来自情报机关、网络犯罪团伙或者网络恐怖主义团体),并且基于情报的上下文(攻击团伙、恶意类型、目的、危害等)确定合理的优先级,及时的给予响应处置。

利用这种失陷IOC进行检测发现,对组织的数据采集要求较低(一般就是HTTP
代理日志、DNS日志或者较完整的流量日志);而一旦发现失陷主机,利用情报信息可以较容易的进行优先级排序、响应方案选择等工作(情报的上下文会清楚地告诉安全响应人员,这是一个针对个人用户的网银木马,或者是一个具有定向性质的窃密木马,又或者只是一个黑客用来进行DDoS攻击的僵尸网络),因此它对于大多数组织而言,是一个相对容易而又实实在在的进步。

利用成熟安全分析解决方案

利用IOC情报能力建设阶段,可以在数据积累、安全响应分析方面积累一定的能力,获得相应的经验,再进一步就向前深入,就是利用较好的产品或解决方案来实现一些典型场景下的安全分析工作,这样做的好处是聚焦问题的解决、有机会学习到业界成熟的经验并且免于将自己陷入到工程开发细节的泥潭中。

这里面讲的较好,有两个层次:

  • 内置典型的分析场景:每个场景需要包括怎样发现线索、怎样排查确认、如何确定攻击范围和性质这些基本的步骤,简单的说它就是将资深分析师的工作经验集成到了产品当中,使安全运维人员在产品的引导下可以逐步学习、探索安全分析的世界。
  • 进一步提供基于线索的优先级排序:线索不是真正的攻击事件,线索排查中会有一些对于组织的环境而言是不需要特别注意的,因此如果能基于一定的方式(规则组合、ML、贝叶斯算法)对不同线索出现后,标识出线索聚合的风险程度,这对于分析人员无疑是非常有价值的。可以直接聚焦到高危报警。

这两个层面可以说对应这安全分析的两代产品,第一代中的典型代表是Splunk的企业安全应用,而第二代则是Exabeam这样的UEBA产品(之前介绍UEBA的一篇文章 [浅析UEBA]:http://www.jianshu.com/p/a8b5e1c31f59

)。组织基于自身关注的问题、数据能力以及人员水平,从某几个典型威胁场景出发,选择适合并有强扩展性的产品,就可以进行建立初步的平台了。需考虑的是,解决某些问题的数据源,也许不是短时间就能采集到的,比如内部没有很成熟的出差审批流程和电子流,就难以将差旅信息作为UEBA的一个分析数据源,但成熟的产品会考虑这种情况下如何检测和判定风险级别。

利用运营级威胁情报阶段

安全是一个动态的过程,即使在采购阶段选择了较好的产品,但是针对新的攻击方式我们还是需要建立新的分析场景,同时也包括一些关键威胁暂时没有现成的分析场景可以覆盖,也需要扩展分析场景。这个过程就需要建立从运营级威胁情报(威胁相关的技术、方法、过程的情报)到分析数据以及分析方法的映射。举一个简单的例子:在2014年以前,可能很少有人会考虑分析Powershell日志的情况,并且也是Powershell
5.0才引入了增强日志功能,早期版本没有太多的日志能力。

因此在平台选型阶段,需要考量产品/方案的开放性与可扩展性,同时也需要考虑建立自身的运营级情报收集能力。对比IOC情报,运营层面的威胁情报,现阶段市场上并没有足够成熟的产品生态圈。如何及时获取到有效的运营级情报,如行业分享、国家层面的通报共享或商业来源,是这个阶段的一个重点。而数据和工具方面应该不再成为这个阶段的重要挑战。

自动化阶段

在整个安全分析平台运营过程中,会发现其中很多工作是高度一致的重复劳动,这种工作如何能够自动化进行,就是这个阶段考虑的事情。这里面就包括更智能的事件调查,以及自动化的遏制(个人认为不是清除)。到了这个数据、检测能力、ML能力都比较成熟的阶段,我们也许可以将一个攻击可能的攻击链、影响范围通过自动化方式给出大致的范围,极大缩短分析人员的工作强度。也有可能基于成熟的处置流程,明确地知道哪类事件可以通过自动化配置网络和终端设备,达到自动化遏制的目的。这样可以让安全运营人员从既有的、缺乏挑战的工作中释放出来。这个阶段可以使重要安全事件的响应时间和质量有巨大的提升。

小结

大数据安全分析能力建设是一个分阶段、逐步提升的过程,对于一些有实力的组织可以同时进行多个阶段的建设,但如果想一步到位无疑是不现实的。整个过程最关键的是问题思维:现阶段要解决的问题是什么,深入思考这个问题才能设立合理的阶段性目标。威胁情报作为一条主线贯穿建设过程中,如果说数据是安全分析的基础,那么情报则是它的灵魂。

作者:ZenMind
来源:51CTO

时间: 2024-10-30 15:46:23

大数据安全分析的阶段性建设的相关文章

十问大数据安全分析(大数据安全的小船怎样才能不翻?)

人类的生产生活每天都在产生大量的数据,并且产生的速度越来越快.新的攻击手段层出不穷,需要检测的数据越来越多,现有的分析技术不堪重负. 安全数据的数量.速度.种类的迅速膨胀,导致的不仅仅是海量异构数据的融合.存储和管理的问题,甚至动摇了传统的安全分析体系和方法.你了解什么是大数据安全分析么?今天,小编带你十问大数据安全分析. 1.大数据安全分析的核心目标是什么? 找到隐藏在数据背后的安全真相. 数据之间存在着关联,传统分析无法将海量数据汇总,但是大数据技术能够应对海量数据的分析需求.通过大数据基础

大数据安全分析(理念篇)

一.引言 单纯的防御措施无法阻止蓄意的攻击者,这已经是大家都认同的事实,应对挑战业界有了诸多方面的探索和实践,而其中最有趣的就非安全分析莫属了,围绕着安全分析展开,我们可以看到大数据.安全智能.情景感知.威胁情报.数据挖掘.可视化等等,因为这些都是安全分析师手中的武器. 下面想针对个人有一定了解的地方,具体谈几个方面,每个方面单独成为一篇: 1.安全分析的相关背景及理念 2.安全分析中的狩猎(Hunting)和事件响应 3.安全分析与可视化 4.安全分析相关技能 今年的RSA大会主题是"变化,挑

从东风号到和谐号,探秘启明星辰大数据安全分析平台

经过10年的发展,中国在高速铁路的建设和发展上取得了举世瞩目的成就,目前已经拥有全世界最大规模以及最高运营速度的高速铁路网.从最早的时速100公里的"东风号"内燃机车到最新的最高时速486公里的"和谐号"高速动车,中国铁路技术实现了快速跨越式发展,局部技术上已经走在了世界的前列. 同样,在信息安全领域,启明星辰公司也集安全分析和安全管理平台技术之大成,十年磨一剑,率先在国内推出了大数据安全分析平台,一举将中国信息安全分析和安全管理从"东风"号内燃

有一种信息安全战略叫“主动智能” 有一种安全守护为“大数据安全分析”

网络安全的重要性,在2016年再次上升到一个新的热点,云计算.大数据这些在互联网普及的衍生的新型技术显然在这一年中已经逐渐落地,与此同时带来的庞大数据量让网络攻击者们垂涎不止.数据对于黑客的诱惑越来越大,企业对于数据的保护越来越重视,在这场较量中,网络安全的守护者们除了坚守己任,更多的也是在捍卫一种能力. 同时,在这场较量中,也对传统安全厂商们提出了更高的挑战--网络安全已经不仅仅是杀毒软件.防火墙.IDS.IPS这些传统意义上的问题了,网络环境的复杂,攻击者们的技术能力提升,都对传统安全厂商提

大数据安全分析常见问题汇总

大数据是时下最火热的IT行业的词汇,随之数据仓库.数据安全.数据分析.数据挖掘等等围绕大数量的商业价值的利用逐渐成为行业人士争相追捧的利润焦点. 本人在与用户沟通大数据问题时经常会遇到一些问题,现将这些常见问题汇总,抛砖引玉,希望可以帮助到大家. 1. 大数据安全分析的核心目标是什么? 应答:为了能够找到隐藏在数据背后的安全真相.数据之间存在着关联,传统分析无法将海量数据汇总,但是大数据技术能够应对海量数据的分析需求.通过大数据基础能够挖掘出APT攻击.内网隐秘通道.异常用户行为等安全事件.在此

大数据安全分析成未来方向 360市场份额第一

近日,国内知名ICT研究机构赛迪顾问发布<中国大数据安全分析市场白皮书>, 360企业安全以25%的市场份额,名列行业第一.根据白皮书,中国大数据安全分析市场自2014年起开始逐渐成型,2015 年市场总体规模约2.8 亿元. 大数据安全分析是指运用大数据技术对信息系统提供保护的相关安全产品.服务及解决方案.主要产品类型包括大数据安全管理平台和未知威胁感知系统. 大数据安全分析成应对安全挑战的新方向 近年来,信息安全形式显著恶化,因网站或平台被黑客攻击,导致个人信息泄露的事件屡见不鲜.其中,金

大数据安全分析的6个要点

现在,很多行业都已 经开始利用大数据来提高销售,降 低成本,精准营销等等.然而, 其实大数据在网络安全与信息安全方面也有很长足的应用.特别是利用大数据来甄别和发现风险和漏洞.498)this.width=498;' onmousewheel = 'javascript:return big(this)' style="width: 455px; height: 254px" border="0" alt="大数据安全分析的 6个要点" width

大数据安全分析“架构”

根据ESG研究公司表示,44%的大型企业(即拥有超过1000名员工的企业) 认为其安全数据收集和分析是"大数据"应用,而另外44%认为其安全数据收集和分析将会在未来2年内成为"大数据"应用.此外,86%的企业正在收集比两年前"更多"或"略多"的安全数据.这种增长趋势非常明显,大型企业正在收集.处理和保存越来越多的数据用于分析,他们使用来自IBM.Lancope.LogRhythm.Raytheon.RSA Security和S

大数据安全分析:学习Facebook的ThreatData框架

在本文中,专家Kevin Beaver将探讨企业如何学习Facebook的ThreatData框架安全分析来加强企业防御.自成立以来,Facebook一直是网络攻击的目标.他们积极抵御恶意软件和防止欺诈,并且他们在这方面的努力经常见诸报端.然而,可以很公平地说,Facebook面临的实际威胁更加严峻.当面对威胁时,知识就是力量.很多企业都 认识到威胁分析和安全分析的重要性,它们不仅可以帮助阻止当前威胁,还可以提高事件响应.最近,Facebook宣布通过其ThreatData框架进军大数据安全分析