被大數據壓垮的網(wǎng)絡(luò )安全工程師

大數據。這三個(gè)字意味著(zhù)我們也許能夠利用純粹的信息作為下一代問(wèn)題解決方案。如今圍繞大數據產(chǎn)生的炒作之聲此起彼伏，許多人認為數據的來(lái)源無(wú)窮無(wú)盡，并由此產(chǎn)生了數據越多越好的結論。

然而事實(shí)上，大數據并不能簡(jiǎn)化安全專(zhuān)業(yè)人員的工作強度，反而令他們更加難以招架。

目前的安全工具正在檢測大量潛在安全事件，并通過(guò)剔除其中冗余數據的方式幫助分析師進(jìn)行后續梳理與關(guān)聯(lián)點(diǎn)預測。安全分析師們雖然能收集各類(lèi)事件，但卻需要努力過(guò)濾掉其中不相關(guān)的內容，即試圖將重要事件與其它噪聲性干擾信息區分開(kāi)來(lái)，這顯然不是什么好事。

大型企業(yè)仍在遭遇各類(lèi)安全事故，而剔除干擾信息使得調查工作進(jìn)度緩慢，甚至需要100天乃至更長(cháng)時(shí)間才能發(fā)現已然發(fā)生的違規活動(dòng)。企業(yè)多年來(lái)一直在努力應對大數據帶來(lái)的影響，但卻收效甚微。

大集合并不等同于大數據

因為收集所有數據再進(jìn)行分析需要占用大量的計算機資源，必然導致系統分析速度緩慢。分析錯誤率也將隨當噪聲性信息的數量提升開(kāi)始增加，即表現出大量假陽(yáng)性結果。

目前尚不存在能夠“仔細”篩選相關(guān)數據并加以分析還能及時(shí)響應的途徑。無(wú)論您立足怎樣的部門(mén)或者應用場(chǎng)景，情況都不會(huì )發(fā)生變化。

即使總體分析結論確實(shí)具有成效，但在分析過(guò)程中投入的大量人力資源仍然非常昂貴，更不要談什么成本效益。目前并沒(méi)有真正能夠實(shí)時(shí)規�；�、高效率分析這么多信息的切實(shí)的方法。真正重要的安全事件或者威脅常常被淹沒(méi)在大量數據形成的信息海當中，最終無(wú)人知曉，而分析與總體響應速度也因此減慢，組織機構往往只能調查過(guò)去而無(wú)法解決當前的問(wèn)題。

CSO們對此感到沮喪萬(wàn)分，他們的CEO則堅持在有限的預算空間之內以實(shí)時(shí)方式發(fā)現并緩解全部潛在威脅因素。這顯然是一項不可能完成的任務(wù)。

評估每款安全工具的功能在甄別有效信息時(shí)尤為重要

事實(shí)上，部分安全工具確實(shí)更適用于某些特定攻擊向量類(lèi)型，且在其它攻擊活動(dòng)中無(wú)法起到良好的作用。

例如，我們無(wú)法依賴(lài)沙箱工具建立IDS設備及信譽(yù)系統功能（雖然不少沙箱產(chǎn)品確實(shí)集成有IDS及聲譽(yù)饋送機制，但其實(shí)際效果遠無(wú)法令人滿(mǎn)意）。反之亦然，不要一味信任IPS設備，因為其中一部分由于開(kāi)發(fā)團隊的關(guān)注取向而更適合追蹤權限升級活動(dòng)，而另一部分則可能更擅長(cháng)解決DoS緩沖區溢出攻擊向量。更多全球網(wǎng)絡(luò )安全資訊盡在E安全門(mén)戶(hù)網(wǎng)站www.easyaq.com

問(wèn)題的關(guān)鍵在于了解并評估每款安全工具的功能，包括其檢測能力、調查能力以及緩解/修復能力，在獲得切實(shí)可信的結論之后，建立情報層以確保攻擊活動(dòng)中的每一項步驟皆能夠被及時(shí)發(fā)現并解讀其意圖，而后將其與最佳安全響應舉措（即最佳工具中的對應功能）進(jìn)行關(guān)聯(lián)，這將大大提升利用大數據解決安全問(wèn)題的實(shí)際效果。

這一處理方式允許我們從工具中收集相關(guān)性最高的數據集，并利用其處理最為緊迫的安全威脅問(wèn)題。也就是說(shuō)，我們不再盲目收集所有數據點(diǎn)，而著(zhù)眼于捕捉質(zhì)量更高的相關(guān)數據。高質(zhì)量數據能夠幫助大家更為高效地追蹤事件相關(guān)性，并將其與相關(guān)度最高且最為有效的安全調查及緩解功能進(jìn)行對接，這樣依賴(lài)一切都將因此擁有更理想的精度與實(shí)時(shí)水平。

簡(jiǎn)而言之，相較于囤積數據并指望利用企業(yè)的業(yè)務(wù)與安全優(yōu)勢馴服這一龐大的原始資源，未來(lái)我們更多需要增加企業(yè)的實(shí)際能力并改善對針對性攻擊意圖的解讀。只有這樣，企業(yè)才能在攻擊活動(dòng)的每個(gè)階段建立起最佳響應程序及舉措。這種新的模式將能夠解決存在于相關(guān)行業(yè)之內最為實(shí)際且最為根本的問(wèn)題，單純對大數據的收集反而成為最可怕的風(fēng)險。