大数据+情景化——WebRAY内网安全治理之道

来源:互联网  
2015/7/6 13:21:58
大数据时代的来临,企业不仅要学习如何挖掘数据价值,还要竭尽所能的进行安全整合,以免遭到更强有力的攻击,降低风险。

本文关键字: 大数据 安全

大数据+情景化——WebRAY内网安全治理之道

大数据时代的来临,企业不仅要学习如何挖掘数据价值,还要竭尽所能的进行安全整合,以免遭到更强有力的攻击,降低风险。近日,在参加“OWASP 2015中国应用安全论坛——业务安全之大数据分析”会议上,WebRAY创始人权小文先生表示:“任何事物都有存在的两面性,大数据也是如此,虽然黑客盯准了它,但大数据一样可以用来反击。基于大数据分析的内网异常检测技术,已经为有效发现和阻断内网攻击的做好了准备。”

【WebRAY创始人权小文】

 

APT防范思路“掉头”内网

企业内网承载大量的核心资产和机密数据,虽然用户采用了层层叠加的网络安全防护产品,SOC、监控中心、网管系统、流量分析系统等处处把关,但出现在内网的攻击和泄露事件并未减少。究其缘由,这与内网安全数年来不能改变的传统防护技术有关,更与内网入侵事件所处的场景化有关。

那么,何为“传统”、何为“情景”呢?权小文做出了如下解答:

他指出,“内网防护现状是离散的、非体系化的防护方法,而大量的安全事件或者是内部员工的恶意、无意造成,或者是长期的潜伏或离职意向前的突发行为。因此,要想在内网发现不法人员盗取数据的‘行走轨迹’,就要借助防御APT攻击的思路,针对内网定制化的情景,通过获取样本,建立正常行为模型,然后分析内部网络流量或终端服务器上的行为,做到情景感知,这将是有别于传统防御方案的新起点、后续监测和分析的触发点。”

据了解,APT攻击防范的难点在于,黑客采用了高度定制的代码,有时很可能只适用“一次”,随之潜伏下来,由于没有已知的特征,所以这些攻击很难被传统对检测手段发现。而静态检测无法检测到深度攻击行为,但动态检测由于存在大量的环境组合,无法穷举,所以不应该使用任何一种单独的方法对目标进行检测,这就需要把所有信息关联起来分析。而针对内网环境,WebRAY所倡导的方法,是把有效对付APT攻击的成功经验、关联分析等技术部署在企业内网情景中,而这必然离不开大数据技术作为“支点”。

大数据带来“情景”分析新机遇

内网安全的重要性不言而喻,那么,用户部署安全攻击防护产品、终端病毒的防范、对服务器加固、网络隔离、部署身份认证和安全审计系统,这系列动作的目的又是什么呢?不外乎形成一个有效的流程:预警→监控→溯源→安全事件责任认定。但是,现实与梦想总有差距。

权小文表示,大数据技术应用带来了内网检测预警新形态和新机遇。他说,“由于传统的、基于SOL存储的安全信息无法整合分析,只能对可以定义的数据进行存储,对于不能定义的数据丢弃,在数据的完整性层面势单力薄。而大数据系统采用NoSQL的非结构化存储,这种技术突破了之前SOC等系统采用的SQL存储的模式,可以保存所有数据,保证了数据的完整性。”

作为大数据分析平台,采集与存储阶段都要尽可能保证数据完整性,而WebRAY方案从路由器旁路采集数据流量、服务器状态、安全设备的日志和相关信息,同时采用漏洞扫描器,主动去扫描检测数据,构建大数据分析的因子,提高了判别的准确性。另外,大数据分析也让WebRAY在业内提出了先进的5W1H分析方法,并以此为主线,满足了用户内网安全流程的建设目标,实现了内控管理的情景感知。

5W1H分析系统中的情景感知因素有Who、When、Where、What、Why、How,通过这些因素可有构建出“主体”到“客体”的访问行为情景。主体是人或应用,客体是应用或数据。而情境分析首先关注审计客体和审计动作,即以What和How为主要关联对象,发现任何一个存在的异常现象。这些常见的异常情景包括:登录异常行为(异常时间、异常IP、多IP登录、频繁登录失败等)、业务违规行为(恶意业务订购、业务只查询不办理、高频业务访问、业务绕行等)、共享账号(一个账号短时间换IP,一个IP登了多个账号等)。另外,5W1H分析方法在网络事件中的应用,还可以解决证据的准确性、完整性等问题就,并且通过合并、改变、简化、取消等操作解决证据存储瓶颈。

内网安全“五步曲”

为了应对“新常态”下的安全风险,有效保障业务安全,OWASP 2015中国应用安全论坛重点围绕“如何利用大数据分析来保障业务安全”进行多角度深层次的讨论。而WebRAY所倡导的“大数据+情景化”的内控安全方法更是得到了参会嘉宾的高度认可,与此同时,权小文还建议企业在内控安全管理中,可以采用以下5个具体步骤进行实践,从而实现大数据分析的内网异常检测:

第1阶段中的主动采集、扫描、探测网络威胁,以及监控、识别获取证据等,对应着登录异常行为;第2阶段中的数据关联、分析、归一化,对应源IP伪造、DDoS攻击识别等流量异常行为;第3阶段中的深度分析,用于形成完整的回溯流程、确定单独事件的5W1H元素,形成混合模式的5W1H链条、以及针对Who链条的信誉体系库;第4阶段的计算与专家库介入是在前面3个阶段后开始,此时已经能够重现完整事件过程,而专家的介入,是为了校对事件追溯过程,通过内置的事件分析模版,进行责任匹配等;第5阶段是定责,这包括了初步认定结果、展示相关问题及其证据链、更新WHO信誉库。

最后,权小文表示:“用户需要重点注意的是在第2阶段,需要事先定义好安全情景,其完整的功能包括数据关联分析、归并、形成Key-Value形态的范式,NOSQL存储,便于检索等,其目的在于解决重复登录系统、异地登陆、绕行登录等异常信息。而这个阶段也是发挥‘大数据+情景化’的关键所在,是大数据内网安全达到情景化、可视化、感知化,责任化的优势所在。”

责编:胡雪妍
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
流动存储 为大数据而生

伴随信息技术的突飞猛进,更大量级的非结构化数据与结构化数据构成的大数据成为企业级存储所面临的最大挑战:一方..

磁盘阵列及虚拟化存储

利用数组方式来作磁盘组,配合数据分散排列的设计,提升数据的安全性。虚拟化存储,对存储硬件资源进行抽象化表现。

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918