大數(shù)據(jù)安全分析重塑安全防護(hù)架構(gòu)論文

　　啟明星辰泰合產(chǎn)品本部產(chǎn)品總監(jiān)葉蓬認(rèn)為，信息安全的大數(shù)據(jù)化、傳統(tǒng)安全分析面對新型威脅的缺陷、情境感知和智能安全的發(fā)展大勢，使得大數(shù)據(jù)安全分析迅速進(jìn)入了網(wǎng)絡(luò)安全領(lǐng)域。而一旦網(wǎng)絡(luò)安全遇到大數(shù)據(jù)安全分析，就必然被深刻地影響并重塑。這種重塑體現(xiàn)在安全防護(hù)架構(gòu)、安全分析體系和業(yè)務(wù)模式等諸多方面。在大數(shù)據(jù)安全分析重塑安全防護(hù)架構(gòu)方面，葉蓬認(rèn)為主要體現(xiàn)在以下六個方面。

　　一是大數(shù)據(jù)安全分析重塑SIEM和安管平臺。

　　在所有網(wǎng)絡(luò)安全領(lǐng)域中，大數(shù)據(jù)安全分析對安全管理平臺(SOC平臺、安管平臺)和安全信息與事件分析(SIEM)系統(tǒng)的影響最為深遠(yuǎn)。

　　傳統(tǒng)的SIEM和安管平臺由于其核心的安全事件采集、分析及存儲引擎的架構(gòu)是針對中小數(shù)據(jù)集合而設(shè)計的，在面對大數(shù)據(jù)的時候運(yùn)行乏力，難以為繼。SIEM和安管平臺都具有安全事件(日志)的采集、存儲、分析、展示等幾個過程，正好與大數(shù)據(jù)分析的收集、存儲、分析和可視化過程完全相同。因此，SIEM和安管平臺天然具有應(yīng)用大數(shù)據(jù)分析技術(shù)的特質(zhì)。而將傳統(tǒng)SIEM和安管平臺的安全事件采集、分析及存儲引擎更換為大數(shù)據(jù)分析引擎后，SIEM和安管平臺被帶到了一個全新的高度，進(jìn)入大數(shù)據(jù)時代。

　　大數(shù)據(jù)安全分析技術(shù)的運(yùn)用已經(jīng)成為未來SIEM和安管平臺的關(guān)鍵技術(shù)發(fā)展趨勢之一。

　　二是大數(shù)據(jù)安全分析推動高級威脅檢測。

　　傳統(tǒng)的安全分析是構(gòu)建在基于特征的檢測基礎(chǔ)之上的，只能做到知所已知，難以應(yīng)對高級威脅的挑戰(zhàn)。而要更好地檢測高級威脅，就需要知所未知，這也就催生了諸如行為異常分析技術(shù)的發(fā)展。行為異常分析的本質(zhì)就是一種機(jī)器學(xué)習(xí)，自動建立起一個正常的基線，從而去幫助分析人員識別異常。面對天量的待分析數(shù)據(jù)，要想達(dá)成理想的異常分析結(jié)果，借助大數(shù)據(jù)分析技術(shù)成為明智之舉。

　　同時，為了對抗高級威脅，還需要有長時間周期的數(shù)據(jù)分析能力，而這正是大數(shù)據(jù)分析的優(yōu)勢所在。

　　此外，安全分析人員在進(jìn)行高級威脅檢測的過程中需要不斷地對感興趣的安全數(shù)據(jù)進(jìn)行數(shù)據(jù)勘探，而要針對天量數(shù)據(jù)實現(xiàn)即席的交互式分析，需要有強(qiáng)大的數(shù)據(jù)查詢引擎，這同樣也是大數(shù)據(jù)分析的優(yōu)勢所在。

　　三是大數(shù)據(jù)安全分析促進(jìn)欺詐檢測。

　　客戶業(yè)務(wù)的日益復(fù)雜和線上業(yè)務(wù)的不斷豐富，使得欺詐檢測遭遇了前所未有的挑戰(zhàn)�，F(xiàn)代的欺詐檢測系統(tǒng)大都具備基于行為輪廓的異常檢測能力，而對天量的用戶、賬號、實體、業(yè)務(wù)的訪問行為信息進(jìn)行建模絕非易事，大數(shù)據(jù)技術(shù)的引入有助于提升建模過程的速度和準(zhǔn)確度。大數(shù)據(jù)安全分析技術(shù)正在重塑欺詐檢測系統(tǒng)。

　　四是大數(shù)據(jù)安全分析增強(qiáng)各類安全產(chǎn)品。

　　除了前面提及的已經(jīng)顯著受到大數(shù)據(jù)技術(shù)影響的安全防護(hù)系統(tǒng)之外，很多傳統(tǒng)的安全防護(hù)系統(tǒng)也同樣正在引入大數(shù)據(jù)安全分析技術(shù)。

　　借助大數(shù)據(jù)安全分析技術(shù)，DLP系統(tǒng)將變得更加智能，不僅能夠?qū)σ呀?jīng)標(biāo)定的敏感信息進(jìn)行檢測，還能對用戶使用數(shù)據(jù)的行為過程進(jìn)行建模，從而針對更多地難以進(jìn)行簡單標(biāo)定的敏感信息的訪問進(jìn)行異常檢測。

　　借助大數(shù)據(jù)安全分析技術(shù)，通過對DAM系統(tǒng)收集到的海量數(shù)據(jù)庫訪問日志進(jìn)行業(yè)務(wù)建模，從而識別用戶的業(yè)務(wù)違規(guī)，使得DAM系統(tǒng)的價值得到進(jìn)一步提升。

　　借助大數(shù)據(jù)安全分析技術(shù)，能夠?qū)崿F(xiàn)針對IAM和4A系統(tǒng)的用戶違規(guī)智能審計。通過對IAM和4A系統(tǒng)的海量用戶訪問日志進(jìn)行建模和機(jī)器學(xué)習(xí)，發(fā)現(xiàn)小概率的異常事件。

　　借助大數(shù)據(jù)安全分析技術(shù)，還能夠提升靜態(tài)應(yīng)用安全測試(SAST)系統(tǒng)的檢測速率，并能夠通過高效地聚類/分類等算法更好地尋找應(yīng)用系統(tǒng)的安全漏洞。

　　五是大數(shù)據(jù)安全分析激發(fā)網(wǎng)絡(luò)威脅情報分析與協(xié)作。

　　隨著高級威脅的日益泛濫，尤其是網(wǎng)絡(luò)空間安全對抗逐步上升到專門組織、國家層面，很多傳統(tǒng)的犯罪分析和戰(zhàn)爭的理論及戰(zhàn)略戰(zhàn)術(shù)被不斷引入網(wǎng)絡(luò)空間安全之中。這其中，最顯著的一個趨勢就是網(wǎng)絡(luò)威脅情報的興起。

　　Gartner認(rèn)為，威脅情報是一種基于證據(jù)的知識，包括了情境、機(jī)制、指標(biāo)、隱含和實際可行的建議。威脅情報描述了現(xiàn)存的、或者是即將出現(xiàn)針對資產(chǎn)的威脅或危險，并可以用于通知主體針對相關(guān)威脅或危險采取某種響應(yīng)。

　　威脅情報最大的好處就是能夠直接作用于企業(yè)和組織的安全防護(hù)設(shè)施，實現(xiàn)高效快速的威脅檢測和阻斷。

　　但是威脅情報信息的獲得絕非易事。專業(yè)的威脅情報服務(wù)提供商能夠采集互聯(lián)網(wǎng)上的各種數(shù)據(jù)，既包括淺層Web，也包括深層Web，甚至是暗網(wǎng)(Dark Web)的數(shù)據(jù)，抑或是授權(quán)客戶的數(shù)據(jù)，然后基本上都利用大數(shù)據(jù)分析技術(shù)產(chǎn)生有關(guān)攻擊者的威脅情報信息。

　　誰也不可能獨立獲得最全的威脅情報，就像我們的反恐或者犯罪調(diào)查一樣，各個情報組織間的合作至關(guān)重要。網(wǎng)絡(luò)威脅情報亦是如此。利用大數(shù)據(jù)分析技術(shù)，有的廠商建立起一個威脅情報的分享和協(xié)作平臺，進(jìn)行威脅情報的交換，更大限度地發(fā)揮情報的價值。

　　簡言之，借助大數(shù)據(jù)安全分析技術(shù)，威脅情報分析與共享這個新興的安全分析領(lǐng)域獲得了突飛猛進(jìn)的進(jìn)步，當(dāng)前正處于聚光燈下。

　　六是大數(shù)據(jù)安全分析造就大數(shù)據(jù)安全分析平臺。

　　大數(shù)據(jù)安全分析不僅重塑著傳統(tǒng)的安全防護(hù)系統(tǒng)，催化著威脅情報，有時候也顯性化地表現(xiàn)為一個專有的分析平臺。

　　如前所述，大數(shù)據(jù)安全分析不是一個產(chǎn)品分類，而代表一種技術(shù)，各種安全產(chǎn)品都能夠運(yùn)用大數(shù)據(jù)安全分析技術(shù)。在一個較為完備的基于大數(shù)據(jù)安全分析的解決方案中，通常會有一個大數(shù)據(jù)安全分析平臺作為整個方案的核心部件，承載大數(shù)據(jù)分析的核心功能，將分散的安全要素信息進(jìn)行集中、存儲、分析、可視化，對分析的結(jié)果進(jìn)行分發(fā)，對分析的任務(wù)進(jìn)行調(diào)度，將各種分散的安全分析技術(shù)整合到一起，實現(xiàn)各種技術(shù)間的互動。此時，通常意義上的SIEM(安全信息與事件分析系統(tǒng))、安全運(yùn)營中心(SOC、安管平臺)、DLP(數(shù)據(jù)防泄露系統(tǒng))、4A系統(tǒng)(認(rèn)證、賬號、授權(quán)、審計)等都在這個大數(shù)據(jù)安全分析平臺之下。

【大數(shù)據(jù)安全分析重塑安全防護(hù)架構(gòu)論文】相關(guān)文章：

分析電子商務(wù)中的數(shù)據(jù)安全論文04-26

基于智能體服務(wù)的云計算架構(gòu)分析論文10-10

鑒于建筑施工安全分析論文10-11

信息安全工程分析論文10-11

關(guān)于面向智能電網(wǎng)的物聯(lián)網(wǎng)架構(gòu)分析論文10-11

廣播電視安全播出分析論文11-13

實驗數(shù)據(jù)的計量經(jīng)濟(jì)分析挑戰(zhàn)與機(jī)遇論文10-10

Hadoop物聯(lián)網(wǎng)數(shù)據(jù)挖掘的算法分析論文10-10

大數(shù)據(jù)時代銀行信息安全保護(hù)探究論文10-11

大數(shù)據(jù)信息安全風(fēng)險框架及策略論文10-11