2012年3月,全球最具权威的IT研究与顾问咨询公司高德纳(Gartner)发表了一份题为《信息安全正在成为一个大数据分析问题》(Information Security Is Becoming a Big Data Analytics Problem)的报告,表示当前真正的信息安全问题正在由大数据来解决,大数据的出现将对信息安全产生深远的影响。从企业级信息系统威胁态势感知的发展历史我们可以看出目前大数据在信息安全领域已经变的不可或缺了。
第一阶段:安全信息和事件管理(Security Information and Event Management)阶段
安全信息和事件管理(SIEM)产品和服务结合了安全信息管理(Security Information Management)和安全事件管理(Security Event Management)。它们提供应用程序和网络硬件生成的安全警报的实时分析。
安全信息和事件管理产品及服务负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件收集安全日志数据,并进行分析和报告。有些SIEM还可以试图阻止它们检测到正在进行的攻击,在一定程度上帮助阻止破坏或者限制成功攻击可能造成的损坏。
安全信息和事件管理的功能有:
数据聚合:日志管理聚合来自多个来源的数据,包括网络,安全,服务器,数据库,应用程序等,提供整合监控数据的能力,以帮助避免错过关键事件。
相关性:查找公共属性,并将事件链接到有意义的包中。该技术提供了执行各种相关技术以集成不同来源的数据的能力,以便将数据转换为有用信息。相关性通常是完整SIEM解决方案中安全事件管理部分的函数。
警报:自动分析相关事件和警报,以通知收件人紧急问题。警报可以是仪表板,也可以通过电子邮件等第三方渠道发送。
仪表板:工具可以将获取的事件数据转换为信息图表,以帮助查看或识别。
合规性:可以使用应用程序自动收集合规性数据,按照已有的安全,管理和审计流程生成报告。
保留:使用历史数据的长期存储来促进数据随时间的关联,并提供合规性要求所需的保留。长期日志数据保留在法医调查中至关重要,因为在发生违规时不太可能发现网络泄露。
取证分析:能够根据特定条件在不同节点和时间段上搜索日志。这减轻了必须通过人力聚合日志信息或搜索成千上万的日志。
这一阶段主要是整合了应用程序和网络硬件生成的安全警报,当攻击已经侵入到系统中时能及时报警。严格意义上来讲,还无法做到威胁态势的感知。
第二阶段:信息安全运营中心/安全运营中心(Information Security Operations Center / Security Operations Center)阶段
安全运营中心是指为保证信息资产的安全,采用集中管理方式统一管理相关安全产品,搜集所有安全信息,并通过对收集到各种安全事件进行深层的分析、统计和关联、及时反映被管理资产的安全基线,定位安全风险,对各类安全时间及时提供处理方法和建议的安全解决方案。
安全运营中心的主要思想是采用多种安全产品的Agent和安全控制中心,最大化地利用技术手段,在统一安全策略的指导下,将系统中的各个安全部件协同起来,实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动,并且能够在多个安全部件协同的基础上实现实时监控、安全事件预警、报表处理、统计分析、应急响应等功能,使得网络安全管理工作由繁变简,更为有效。
对于大型政企来讲,可以运行多个安全运营中心来管理不同的信息和通信技术,或者在一个站点不可用时提供冗余。
安全运营中心和网络运营中心(NOC)相互补充,协同工作。网络运营中心通常负责监控和维护整个网络基础架构,其主要功能是确保不间断的网络服务。安全运营中心负责保护网络,网站,应用程序,数据库,服务器和数据中心以及其他技术。
安全运营中心主要负责以下三个方面:
控制——通过合规性测试,渗透测试,漏洞测试等关注安全状态。
监控——通过日志监控,SIEM管理和事件响应来关注事件和响应
运营——专注于运营安全管理,如身份和访问管理,密钥管理,防火墙管理等。
这一阶段集中管理相关安全产品,搜集所有安全信息,并对收集到信息进行分析和处理,在一定程度上可以做到安全事件的预警。
当前阶段:安全智能中心(Security Intelligence Center)阶段
今天的信息安全领域都面临着诸多挑战。一方面,企业安全架构日趋复杂,各种类型的安全设备越来越多、产生的安全数据也越来越多,已经多到用传统的分析方法无法及时处理这些数据;但另一方面,一些新型威胁的兴起,内控与合规的深入,为了做出更准确的判定和及时的响应,需要获取、保存与分析更多的安全信息。因此信息安全问题正在逐渐变成一个大数据分析问题,大规模的安全数据需要被有效地关联、分析和挖掘,才能应对当前在信息安全领域的挑战。
对于一些难以察觉的安全威胁,用传统的方法会耗费数天甚至数月的时间才能发现,因为大量的互不相干的数据流难以形成简明、有条理的事件脉络。所采集和分析的数据量越大,就越难看出他们之间是否有联系,重构事件所需的时间也越长。当遭到像快速传播的蠕虫这样快速且凶猛攻击,如果要花数天或数月来诊断问题,会造成巨大的合规和财务影响。哪些资产真正处于威胁风险中,哪些资产有补救控制或应对措施?要知道这些问题,管理员需要监控所有系统的安全状况,包括访问其网络的移动设备和个人拥有设备,并及时确定优先级和补救措施。
大数据的出现有效地解决了上述问题,因为大数据具有以下优点:
(1)扩大了分析内容的范围。传统的威胁分析主要针对的内容为各类安全事件。一个企业的信息资产则包括数据资产、软件资产、实物资产、人员资产、服务资产和其他为业务提供支持的无形资产。由于传统威胁检测技术的局限性,其并不能覆盖这6类信息资产,因此所能发现的威胁也是有限的。通过在威胁检测方面引入大数据分析技术,可以更全面地发现针对这些信息资产的攻击。比如,通过对企业的客户部订单数据的分析,能够发现一些异常的操作行为,进而判断是否危害公司利益。所以说分析内容范围的扩大使得基于大数据的威胁检测更加全面。
(2)可分析时间跨度更长的内容。现有的许多威胁分析技术都是内存关联性的,也就是说实时收集数据,采用分析技术发现攻击。分析窗口通常受限于内存大小,无法应对持续性和潜伏性攻击。引入大数据分析技术后,威胁分析窗口可以横跨若干年的数据,因此威胁发现能力更强,可以有效应对高级持续性威胁(APT)类攻击。
(3)增加了攻击威胁的预测性。传统的安全防护技术或工具大多是在攻击发生后对攻击行为进行分析和归类,并做出响应。基于大数据的威胁分析,可进行超前的预判,它能够寻找潜在的安全威胁,对未发生的攻击行为进行预防。
(4)甚至可以检测到未知的威胁。传统的威胁分析通常是由经验丰富的专业人员根据企业需求和实际情况展开,然而这种威胁分析的结果很大程度上依赖于个人经验。同时,分析所发现的威胁也是已知的。大数据分析的特点是侧重于普通的关联分析,而不侧重因果分析,因此通过采用恰当的分析模型,可发现未知威胁。
随着云计算与大数据的发展,安全智能中心成为企业级威胁态势感知平台。安全智能中心以大数据为技术支持,以企业的业务为核心,进行实时的异常检测,实现安全分析智能化与威胁可视化,并提供威胁情报共享、安全台式感知和高级威胁侦测分析等服务。
从安全运营中心(SOC)转化到安全智能中心(SIC),其主要差别在:
1. 利用威胁情报智能分析而不是单纯依赖安全厂商和告警反馈;
2. 从基于规则匹配向数据建模、机器学习智能化的转变;
3. 从短时间状态监控向长周期趋势变化及动态基线转变;
4. 从单一安全事件监控向整体安全态势感知的转变;
5. 从依靠自身安全能力为向威胁情报共享,风险预测的转变。
目前IT环境正在发生深刻变化,移动化、外部协作、虚拟化、云计算、移动互联化、黑色产业链这六种趋势,正在重塑传统的IT架构,从而也驱动信息安全防护策略向自适应安全及场景感知的方向发展,尤其是威胁也在发生深刻变化。
针对以上这些新型威胁特征,立体化、可视化防护架构已经被广大用户所接受。一方面通过云安全和大数据分析技术提高了传统网关、网络、端点等纵向拦截面的威胁识别能力。另一方面还加入了云数据中心、虚拟化主机和应用层的威胁深度侦测技术。从多个层面确保业务安全、数据安全,进而帮助用户识别、分析、拦截每一个非法的业务信息流或是端点的可疑行为。
当今的高级威胁需要新的层次化防御模型使用主动参与技术在网络、负载和终端三个层面进行防御,综合使用两个或者三个层次的解决方案可以提供更为有效的高级威胁防御能力。
北京中联润通信息技术有限公司简介:公司成立于2009年,是中国领先的大数据综合服务提供商,长期服务于国家政府部门、地方政府和大型企业,在海南、重庆、上海等地与地方政府及国企单位合作成立了多个分支机构,中联润通专注于产业经济、空港经济、价格监管、智慧园区、扶贫、医疗等大数据解决方案,致力于推动数字社会建设。
本文发表于由国家信息中心数字中国研究院编辑出版的《数字中国建设通讯》2018年第2期
京公网安备11010202010038号
分享