大數(shù)據(jù)給我們?cè)趯?duì)抗入侵方面帶來新希望，覬覦敏感信息的攻擊者們變得更容易落網(wǎng)。

“大數(shù)據(jù)”領(lǐng)域的安全體系具備這樣一種特點(diǎn)：只要企業(yè)能夠?qū)⒆陨砼c安全相關(guān)的事件數(shù)據(jù)與業(yè)務(wù)信息倉(cāng)庫(kù)相結(jié)合，就完全可以通過對(duì)大數(shù)據(jù)的分析揪出那些試圖盜取敏感信息的入侵者。

從安全角度來說，我們當(dāng)然希望大數(shù)據(jù)能夠在大型數(shù)據(jù)資源庫(kù)的日益普及之下，取得更加輝煌的發(fā)展態(tài)勢(shì)；而這一切就當(dāng)前來看主要依靠開源可擴(kuò)展軟件Hadoop在企業(yè)中的采用情況。隨著大數(shù)據(jù)的人氣一路走高，隨之伴生的一種全新工作崗位也在與Hadoop相關(guān)的IT領(lǐng)域衍生出來，這就是“數(shù)據(jù)科學(xué)家”。與傳統(tǒng)的安全專家與分析師有所不同，以大數(shù)據(jù)為主要關(guān)注對(duì)象的數(shù)據(jù)科學(xué)家們所關(guān)心的是如何利用工具及知識(shí)保障信息安全，并保證隱匿入侵者遠(yuǎn)離那些高度敏感的數(shù)據(jù)。

事實(shí)告訴我們，在廣闊無垠的網(wǎng)絡(luò)世界中追蹤惡意攻擊者可謂大海撈針，而“大數(shù)據(jù)”的出現(xiàn)則讓情況有了一些轉(zhuǎn)機(jī)。不過事情真有這么美好嗎？

來自企業(yè)管理聯(lián)合會(huì)的資深分析師Scott Crawford對(duì)此充滿信心。“網(wǎng)絡(luò)數(shù)據(jù)分析師們能夠發(fā)現(xiàn)異常情況，但無法將這些異常與安全保障機(jī)制聯(lián)系起來，”他在最近于舊金山舉行的RSA大會(huì)上，在大數(shù)據(jù)與安全輔助作用主題發(fā)言中表達(dá)了以上意見。

根據(jù)Crawford的預(yù)測(cè)，大數(shù)據(jù)領(lǐng)域?qū)⒆罱K出現(xiàn)“針對(duì)安全算法的新市場(chǎng)”。他指出，像Red Lambda以及Palantir這樣的企業(yè)目前已經(jīng)在通過數(shù)學(xué)分析對(duì)異常情況進(jìn)行定位及診斷。

那些“惡意”攻擊者一直在努力將異常狀況隱藏起來，讓網(wǎng)絡(luò)中的用戶在看似“正常”的流程中身受其害，而躲在正常背后的陰暗面才是他們的真正目的。現(xiàn)在，隱匿攻擊者已經(jīng)能夠避開大部分傳統(tǒng)防御機(jī)制，例如入侵防御系統(tǒng)、防火墻以及反病毒防御等手段，Gartner公司分析師Neil MacDonald在RSA大會(huì)上的相關(guān)版塊中做出這樣的提醒。

這些攻擊滲透及竊取高度敏感數(shù)據(jù)的行為勢(shì)必帶來毀滅性的嚴(yán)重后果，此類手段有時(shí)也被稱為先進(jìn)持續(xù)性威脅（簡(jiǎn)稱APT）。從這一方向出發(fā)，惡意人士將能夠有效地隱藏自己在網(wǎng)絡(luò)中所實(shí)施的邪惡計(jì)劃。MacDonal還認(rèn)為，時(shí)至今日，我們已經(jīng)很難根據(jù)表面情況判斷出哪些網(wǎng)絡(luò)行為屬于“好的”，而哪些算是“壞的”。“我們必須深入了解正面行為的真正特征”，以切實(shí)掌握“與正面行為不符的諸多差異”，他指出。

大數(shù)據(jù)的出現(xiàn)為安全性分析工作提供了新的可行性，這也許意味著目前所通用的大部分安全工具，例如安全信息與事件管理（簡(jiǎn)稱SIEM）等，很可能已經(jīng)無法滿足新趨勢(shì)的要求。分析師們認(rèn)為，現(xiàn)在我們亟需一場(chǎng)變革。

MacDonald告訴我們，以上觀點(diǎn)絕不是危言聳聽，其中的某些表述現(xiàn)在已經(jīng)初見端倪，而RSA大會(huì)威脅檢測(cè)產(chǎn)品NetWitness以及惠普出品的ArcSight SIM等等都開始在這些方面做出改變。包括CrowdStrike公司在內(nèi)的諸多新興企業(yè)甚至明確表示，他們會(huì)以新的方式應(yīng)對(duì)令人頭痛的APT問題。

然而，SIEM類產(chǎn)品的演變真的能為與業(yè)務(wù)相關(guān)的大數(shù)據(jù)帶來可靠的保障嗎？而將重要的業(yè)務(wù)數(shù)據(jù)從一系列防火墻、服務(wù)器、IPS等能夠提供有意義反饋的設(shè)施中提取出來，添加進(jìn)更為傳統(tǒng)的SIEM數(shù)據(jù)中去，這樣的想法在攻擊者看來會(huì)不會(huì)只是種令人眼花繚亂的虛招假式，對(duì)于安全保障其實(shí)并無實(shí)質(zhì)性改進(jìn)呢？

“人們不可能從SIEM工具中得到自己想要的答案，”Forrester公司分析師John Kindervag如是說。他表示，新的變革浪潮必將來臨，但SIEM工具只是其中的一部分。

在出席RSA大會(huì)的全部分析師中，來自企業(yè)戰(zhàn)略集團(tuán)的Jon Oltsik則成為最堅(jiān)定的懷疑論者，他對(duì)大數(shù)據(jù)能成為APT問題的答案表示完全不可理解。

“獲取到的信息數(shù)據(jù)肯定會(huì)大量增加，這一點(diǎn)我并不反對(duì)，但問題在于，這些數(shù)據(jù)到底能說明什么，”Oltsik評(píng)論道。他認(rèn)為，企業(yè)中的首席信息安全官（簡(jiǎn)稱CISO）如今還對(duì)大數(shù)據(jù)將成為某種意義上的安全救星之類的想法不太感興趣。“當(dāng)我與CISO們討論并陳述大數(shù)據(jù)的安全益處時(shí)，他們根本就是在當(dāng)笑話來聽，”他告訴我們。

盡管存在不少負(fù)面意見，但某些大數(shù)據(jù)的早期部署工作已經(jīng)讓我們看到了其在保障信息安全方面的希望。

Zions Bancorporation公司已經(jīng)成立了一個(gè)規(guī)模龐大的信息庫(kù)，用于將實(shí)時(shí)安全保障的主動(dòng)分析功能與業(yè)務(wù)數(shù)據(jù)相結(jié)合，以定位網(wǎng)絡(luò)釣魚攻擊、防止欺詐行為并抵御黑客侵入。根據(jù)去年十月的通報(bào)，該信息庫(kù)以Zettaset數(shù)據(jù)倉(cāng)庫(kù)為基礎(chǔ)，而這套數(shù)據(jù)倉(cāng)庫(kù)正是一款利用Hadoop打造而成的數(shù)據(jù)密集型分布式應(yīng)用程序。Zions公司首席安全官Preston Wood將其形容為一種對(duì)當(dāng)前SIEM工具的強(qiáng)化方案，并會(huì)出于安全目的對(duì)大量歷史業(yè)務(wù)數(shù)據(jù)進(jìn)行監(jiān)控。

包括NetIQ在內(nèi)的諸多SIEM產(chǎn)品供應(yīng)商，紛紛表示自己對(duì)于大數(shù)據(jù)將帶來的影響非常清楚，并認(rèn)為新的安全時(shí)代即將來臨。

“這是SIEM產(chǎn)品發(fā)展的必然方向，”NetIQ公司產(chǎn)品管理部門總監(jiān)Matt Ulery指出，這家企業(yè)推出的SIEM產(chǎn)品名為Sentinel。Ulery認(rèn)為目前業(yè)界正在嘗試將商務(wù)智能與SIEM統(tǒng)一起來，并進(jìn)行新一輪投資改造。大數(shù)據(jù)能夠檢測(cè)出正常運(yùn)行情況之外的蛛絲馬跡，而Sentinel 7.0的特色也正是將數(shù)據(jù)與更多背景信息結(jié)合起來，Ulery如是說。

“但我們?cè)鯓咏o‘好’下定義？”Ulery設(shè)問道，能夠揪出某個(gè)“正打算劫持賬戶”的攻擊者算得上好吧？但問題在于如何界定這一操作行為到底是來自員工還是攻擊者？他表示，隱匿攻擊行為本身每天出現(xiàn)的時(shí)間可能最多幾秒鐘，所以我們的目標(biāo)是正確定義哪些對(duì)象是可信任的內(nèi)部人員、而哪些才是真正的攻擊者。大數(shù)據(jù)在這方面相當(dāng)擅長(zhǎng)，能為我們提供大量必要援助。

但Ulery同時(shí)補(bǔ)充稱，要讓大數(shù)據(jù)在安全方面取得突破似乎還需要解決一些現(xiàn)實(shí)問題，這也正是討論話題中最難以逾越的障礙。

最現(xiàn)實(shí)的阻礙之一就是當(dāng)前在企業(yè)中遍地開花的云計(jì)算，數(shù)據(jù)一旦進(jìn)入云計(jì)算平臺(tái)，傳統(tǒng)SIEM方案將很難對(duì)其加以追蹤及分析，這就等于從根源上破壞了SIEM的保護(hù)機(jī)制。另一大現(xiàn)實(shí)問題在于，安全管理者們希望大數(shù)據(jù)能夠與他們預(yù)先制訂的數(shù)據(jù)管理策略與意向相吻合，這一點(diǎn)在目前仍然算是非常尖端的技術(shù)難題。在這樣一個(gè)產(chǎn)業(yè)鏈上下游密切相關(guān)的時(shí)代，是否允許移動(dòng)設(shè)備以“自帶設(shè)備辦公”形式出現(xiàn)等問題所影響的已經(jīng)不僅僅是企業(yè)自身的業(yè)務(wù)，更會(huì)成為管理領(lǐng)域的又一大難題。而有鑒于此，大數(shù)據(jù)的采用也已然變成不得不從的必然結(jié)果。該來的總會(huì)來，我們不妨共同期待它在安全領(lǐng)域的實(shí)際表現(xiàn)。

原文名：Can big data nab network invaders?    

轉(zhuǎn)載鏈接：http://www.cioage.com/art/201203/96400.htm