国产 一极视频,国产精品 日韩无码 大秀视频,亚洲第一天堂m网站,精品久久久久中文字幕加勒比

信息安全應(yīng)急響應(yīng)服務(wù)
誠然，安全威脅千變?nèi)f化，特別是近年來APT攻擊等新型安全威脅的出現(xiàn)，讓企業(yè)、非盈利組織乃至政府機(jī)構(gòu)等攻擊目標(biāo)防不勝防。攻擊方總是想盡辦法突破原有的攻擊思路，創(chuàng)新攻擊技術(shù)和手段，從而達(dá)到攻陷對手的目的。而防守方面對變化莫測、創(chuàng)新不斷的攻擊，很難找到統(tǒng)一的、行之有效的方案，來主動應(yīng)對威脅。更多的時(shí)候，他們只能頭痛醫(yī)頭腳痛醫(yī)腳，被動挨打。

真的沒有這樣的方案嗎？

答案并非如此。

曙光已至

正如Gartner指出的那樣，大數(shù)據(jù)分析或許就是這樣一個(gè)方案。大數(shù)據(jù)分析的巨大價(jià)值，不僅可以用于為消費(fèi)者畫像，幫助企業(yè)進(jìn)行精準(zhǔn)營銷。它同樣可以用于為攻擊者畫像，從而主動預(yù)測、識別、防范攻擊，搶先進(jìn)行處置。

與沙箱等被動的防護(hù)方式不同，如果通過大數(shù)據(jù)分析真的能把隱匿在數(shù)據(jù)海洋中的攻擊者或者潛在攻擊者“揪”出來，那么攻擊方在暗處，防守方在明處，攻擊方主動，防守方被動，攻擊方出招，防守方只能接招的不利局面將被徹底扭轉(zhuǎn)。

面對一絲曙色，我們有理由相信，大數(shù)據(jù)分析不僅為信息安全防護(hù)提供一個(gè)新的思路，它還有可能改變整個(gè)信息安全產(chǎn)業(yè)。

啟明星辰泰合產(chǎn)品本部產(chǎn)品總監(jiān)葉蓬認(rèn)為，大數(shù)據(jù)分析技術(shù)能夠給網(wǎng)絡(luò)與信息安全帶來全新的技術(shù)提升，突破傳統(tǒng)技術(shù)的瓶頸，可以更好地解決已有的安全問題，也可以幫助我們應(yīng)對新的安全問題。

簡言之，安全數(shù)據(jù)的大數(shù)據(jù)化、傳統(tǒng)安全分析面臨的諸多挑戰(zhàn)，以及正在興起的智能安全和情境感知理念都將大數(shù)據(jù)分析視作關(guān)鍵的解決方案。于是，業(yè)界出現(xiàn)了將大數(shù)據(jù)分析技術(shù)應(yīng)用于信息安全的技術(shù)——大數(shù)據(jù)安全分析（Big Data Security Analytics，簡稱BDSA），也有人稱做針對安全的大數(shù)據(jù)分析（Big Data Analytics for Security）。

借助大數(shù)據(jù)安全分析技術(shù)，人們能夠更好地解決天量安全要素信息的采集、存儲的問題，借助基于大數(shù)據(jù)分析技術(shù)的機(jī)器學(xué)習(xí)和數(shù)據(jù)挖據(jù)算法，能夠更加智能地洞悉信息與網(wǎng)絡(luò)安全的態(tài)勢，更加主動、彈性地應(yīng)對新型復(fù)雜的威脅和未知多變的風(fēng)險(xiǎn)。

攻擊者的攻擊行為隱藏在海量的安全事件中，通過包捕獲，也能拿到天量的包含攻擊流量的數(shù)據(jù)。所有這些天量數(shù)據(jù)匯聚起來就是安全大數(shù)據(jù)。通過對這些安全大數(shù)據(jù)進(jìn)行實(shí)時(shí)分析和歷史分析，建立行為輪廓，并進(jìn)行行為建模和數(shù)據(jù)挖掘，就能幫助安全分析師識別出攻擊者及其攻擊行為和過程，并提取攻擊特征，反饋給安全防御設(shè)施進(jìn)行阻斷。

“其實(shí)，這類分析方法很早就提出來了，只是受限于當(dāng)時(shí)的技術(shù)實(shí)現(xiàn)手段，難以落地。大數(shù)據(jù)技術(shù)的成熟，以及大數(shù)據(jù)生態(tài)系統(tǒng)的日益壯大，使得這些分析方法有了落地的可性能?！比~蓬告訴記者。

防御思想變革

毫無疑問，信息安全始終是一場攻與防的博弈，此消彼長。當(dāng)攻擊方不斷創(chuàng)新和突破的時(shí)候，那防守方呢？

“現(xiàn)在業(yè)界討論更多的不是有沒有遭到攻擊，而是何時(shí)會遭受攻擊，甚至是當(dāng)我們已經(jīng)遭受攻擊時(shí)，如何迅速、準(zhǔn)確地找到網(wǎng)絡(luò)中已經(jīng)存在的攻擊！”葉蓬認(rèn)為，面對越來越高級和新型的安全威脅，當(dāng)前整個(gè)網(wǎng)絡(luò)安全防御體系已經(jīng)失效，因而安全防御的思想方法論也需要進(jìn)行重大的變革。

“當(dāng)然，這并不是說傳統(tǒng)的防御思想一無是處，而是需要進(jìn)行反思和提升?！比~蓬告訴記者，當(dāng)前的信息安全發(fā)展趨勢正在從面向合規(guī)的安全向面向?qū)沟陌踩D(zhuǎn)變；從消極被動防御到積極主動防御，甚至是攻防兼?zhèn)?、積極對抗的轉(zhuǎn)變。

一種防御思想是縱深防御。盡管這個(gè)防御思想經(jīng)常被提及，但是當(dāng)下要更加深化對“縱深”的理解?！斑@種縱深不能僅僅是防范某類些攻擊路徑上的縱深，還需要考慮防范攻擊的時(shí)間縱深、管理縱深、物理縱深?？傊覀円獜母叩木S度來進(jìn)行縱深防御，因?yàn)槲覀兊膶κ忠舱谘芯咳绾螐母叩木S度來發(fā)起攻擊?！比~蓬說。

隨著網(wǎng)絡(luò)安全日漸上升到國家層面，以及網(wǎng)絡(luò)戰(zhàn)風(fēng)險(xiǎn)的加大，很多軍事理論也被引入了網(wǎng)絡(luò)安全領(lǐng)域，譬如更加重視情報(bào)，尤其是威脅情報(bào)在網(wǎng)絡(luò)威脅檢測中的作用。情報(bào)的獲得與分享將大大提升對高級威脅防御的有效性。而情報(bào)的分析與分享需要大數(shù)據(jù)平臺來做支撐。又譬如，軍事領(lǐng)域的偽裝、誘餌技術(shù)也應(yīng)用于網(wǎng)絡(luò)安全，安全防御體系中正在加入偽裝的核心數(shù)據(jù)庫和服務(wù)器，對設(shè)備、主機(jī)、系統(tǒng)和應(yīng)用的特征指紋進(jìn)行偽裝，以及部署蜜網(wǎng)等。

“100%的守住網(wǎng)絡(luò)安全是絕不可能的。因此，我們不能被動地防守，我們需要更快更好地識別潛在的威脅和敵人。從國家網(wǎng)絡(luò)空間安全的角度來看，就是要具備先發(fā)制人的能力，以及網(wǎng)絡(luò)空間威懾的能力。從一般企業(yè)和組織的角度來看就是要具備主動防御能力，包括提前獲悉網(wǎng)絡(luò)中的暴露面，獲悉網(wǎng)絡(luò)威脅情報(bào)?！比~蓬表示。

還有一種防御思維是積極防御、積極對抗。這種思想的終極目標(biāo)是不求阻止任何攻擊，而是盡可能地延緩攻擊，拖延攻擊者的時(shí)間，以便為找到對策爭取時(shí)間。網(wǎng)絡(luò)攻防很多時(shí)候就是一場奪取時(shí)間的戰(zhàn)斗，誰得到的時(shí)間越多，誰就越有可能掌握對抗的主動權(quán)，而掌握主動就意味著更有可能獲取對抗的勝利。

葉蓬告訴記者，諸如美國國防部提出了移動目標(biāo)防御（Moving Target Defense，簡稱MTD）的理論，并投入大量資金進(jìn)行研究和產(chǎn)業(yè)化。移動目標(biāo)防御的核心就是不斷變換己方關(guān)鍵目標(biāo)的工作姿態(tài)，從而使得對方疲于破解，消耗對方的時(shí)間，為己方贏得防御時(shí)間，提升系統(tǒng)的可生存性。

“這種積極防御就像踢足球一樣。過去，我們的防守也有陣型，但是更像是站樁式防守，對方一變陣，就完全無法應(yīng)對。我們過去部署的大量安全設(shè)備和系統(tǒng)基本上都是站樁式的，缺乏協(xié)作與變換，相互協(xié)作和補(bǔ)防能力都沒有。積極防御就是要求防守隊(duì)員都跑動起來，相互之間更好地協(xié)同，對于網(wǎng)絡(luò)安全防護(hù)設(shè)備而言就是要相互協(xié)同聯(lián)動起來。再厲害一點(diǎn)，連球門（關(guān)鍵保護(hù)對象）的位置也要能夠變化，譬如隱匿IP，動態(tài)化IP等?！比~蓬說。

“除了場上的隊(duì)員要積極起來，場下的教練和分析師智囊團(tuán)也要積極起來，要根據(jù)場上的形勢變化做出合理的戰(zhàn)術(shù)布置和調(diào)整。對于網(wǎng)絡(luò)安全防御，就是要有一個(gè)決策分析與研判的機(jī)制，要有一個(gè)安全分析的大腦。這個(gè)大腦能夠能夠基于歷史數(shù)據(jù)挖掘分析，找到合適的設(shè)備，將其部署到合適的位置，讓各種安全設(shè)備和機(jī)制發(fā)揮最大的作用；同時(shí)，能夠?qū)崟r(shí)分析對抗過程中產(chǎn)生的信息，做出合理的防守變化?！比~蓬的比喻非常形象。

顯然，這個(gè)安全分析的大腦就是大數(shù)據(jù)安全分析平臺。

大數(shù)據(jù)安全分析平臺

“在一個(gè)較為完備的基于大數(shù)據(jù)安全分析的解決方案中，通常會有一個(gè)大數(shù)據(jù)安全分析平臺作為整個(gè)方案的核心部件，承載大數(shù)據(jù)分析的核心功能，將分散的安全要素信息進(jìn)行集中、存儲、分析、可視化，對分析的結(jié)果進(jìn)行分發(fā)，對分析的任務(wù)進(jìn)行調(diào)度，將各個(gè)分散的安全分析技術(shù)整合到一起，實(shí)現(xiàn)各種技術(shù)間的互動。”葉蓬表示，通常意義上的SIEM（安全信息與事件分析系統(tǒng)）、DLP（數(shù)據(jù)防泄露系統(tǒng)）、4A系統(tǒng)（認(rèn)證、賬號、授權(quán)、審計(jì)）等都在這個(gè)大數(shù)據(jù)安全分析平臺之下。

2014年底，啟明星辰發(fā)布的具有自主知識產(chǎn)權(quán)的泰合大數(shù)據(jù)安全分析平臺，正是基于上述思想進(jìn)行設(shè)計(jì)的。葉蓬介紹，該平臺可以幫助用戶實(shí)現(xiàn)在規(guī)模不斷擴(kuò)大的異構(gòu)海量數(shù)據(jù)如事件、流、網(wǎng)絡(luò)原始流量、文件等信息中，結(jié)合流行的關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、數(shù)理統(tǒng)計(jì)、實(shí)時(shí)分析、歷史分析和人機(jī)交互等多種分析方法和技術(shù)，發(fā)現(xiàn)傳統(tǒng)的安全產(chǎn)品無法檢測的安全攻擊和威脅，從而進(jìn)一步保護(hù)用戶的信息不被破壞，保障用戶的業(yè)務(wù)安全穩(wěn)定運(yùn)行，為用戶達(dá)成核心戰(zhàn)略創(chuàng)造價(jià)值。

“泰合大數(shù)據(jù)安全分析平臺面向大型企事業(yè)單位、政府、組織機(jī)構(gòu)等用戶，提供一套完整的分布式數(shù)據(jù)采集框架及預(yù)處理過程，選用成熟的大數(shù)據(jù)存儲架構(gòu)，結(jié)合SQL、NewSQL和NoSQL技術(shù)，實(shí)現(xiàn)對異構(gòu)安全數(shù)據(jù)的快速可靠的存儲。平臺提供了多種集中式和分布式數(shù)據(jù)分析方法，可實(shí)現(xiàn)對天量安全數(shù)據(jù)的實(shí)時(shí)分析與事后分析，同時(shí)還提供一套可視化的數(shù)據(jù)挖掘分析工具。

借助于該平臺實(shí)現(xiàn)的核心功能有：安全信息的全文索引、大數(shù)據(jù)實(shí)時(shí)分析、大數(shù)據(jù)快速統(tǒng)計(jì)報(bào)表分析、網(wǎng)絡(luò)流量元數(shù)據(jù)存儲與行為分析、全包存儲與原始流量還原分析、歷史數(shù)據(jù)的關(guān)聯(lián)分析和溯源、攻擊路徑分析、威脅情報(bào)管理與共享、海量數(shù)據(jù)可視化展示、大數(shù)據(jù)分析云平臺可視化人機(jī)界面，協(xié)助安全分析師靈活調(diào)整分析過程，發(fā)現(xiàn)數(shù)據(jù)價(jià)值。”葉蓬介紹，平臺采用分布式處理技術(shù)在提升采集、存儲與分析性能的同時(shí)，提供了友好的數(shù)據(jù)展示平臺，采用豐富的數(shù)據(jù)展示組件，實(shí)現(xiàn)了安全數(shù)據(jù)集及分析結(jié)果的可視化，為安全管理人員呈現(xiàn)有價(jià)值的分析結(jié)果。

葉蓬介紹，泰合大數(shù)據(jù)安全分析平臺架構(gòu)分為采集層、大數(shù)據(jù)層、分析層、管控層和呈現(xiàn)層，分別完成天量異構(gòu)數(shù)據(jù)測采集、預(yù)處理、存儲、分析和展示，采用多種分析方法，包括關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、運(yùn)維分析、統(tǒng)計(jì)分析、OLAP分析、數(shù)據(jù)挖掘和惡意代碼分析等多種分析手段對數(shù)據(jù)進(jìn)行綜合關(guān)聯(lián)，完成數(shù)據(jù)分析和挖掘的功能，并集成了業(yè)界領(lǐng)先的智能威脅情報(bào)管理功能，結(jié)合內(nèi)外部威脅情報(bào)，可以為安全分析人員和管理人員提供快捷高效的決策支持。

重塑信息安全產(chǎn)業(yè)

“做大數(shù)據(jù)分析，數(shù)據(jù)質(zhì)量非常關(guān)鍵，如果提供分析的數(shù)據(jù)本身就有問題或者錯(cuò)誤，那么分析結(jié)果必然有問題。尤其是大數(shù)據(jù)安全分析中，數(shù)據(jù)的真實(shí)性和原始性更加重要。具體來說，如果我們僅針對海量日志進(jìn)行分析，可能由于攻擊者將關(guān)鍵日志抹除，或者故意摻入假日志，反而會讓基于日志的大數(shù)據(jù)安全分析誤導(dǎo)我們。這時(shí)，我們很強(qiáng)調(diào)對原始網(wǎng)絡(luò)流量的分析，將這些流量轉(zhuǎn)換為流（元數(shù)據(jù)），然后進(jìn)行大數(shù)據(jù)分析，配合日志分析，效果更佳。”葉蓬說。

當(dāng)然，整體上而言，和大數(shù)據(jù)分析在其他行業(yè)的應(yīng)用一樣，大數(shù)據(jù)安全分析還處于早期，尚未成熟，但前景樂觀。葉蓬認(rèn)為，一方面，大數(shù)據(jù)分析自身的生態(tài)還未真正建立，大數(shù)據(jù)技術(shù)本身還在迅速演化；另一方面，基于大數(shù)據(jù)的安全分析算法還不夠豐富，安全分析算法的設(shè)計(jì)人員和數(shù)據(jù)分析師匱乏，大部分分析結(jié)果還需要富有經(jīng)驗(yàn)的安全分析師才能解讀，分析結(jié)果還做不到一目了然。因此，目前大數(shù)據(jù)安全分析主要用于針對APT等新型威脅的檢測分析，因?yàn)檫@類需求本身很復(fù)雜，值得做這個(gè)投入。葉蓬強(qiáng)調(diào)，用戶在建設(shè)大數(shù)據(jù)安全系統(tǒng)之前，一定要確認(rèn)清晰的目標(biāo)，要有對發(fā)展現(xiàn)狀和自身能力的正確認(rèn)知，切不可盲從。

大數(shù)據(jù)時(shí)代的到來，使得安全數(shù)據(jù)的地位和價(jià)值得到了空前的提升，數(shù)據(jù)成為了網(wǎng)絡(luò)安全的關(guān)鍵資源。葉蓬指出，大數(shù)據(jù)安全分析本質(zhì)上還是一種知識的運(yùn)用和提取。在大數(shù)據(jù)時(shí)代，安全對抗往往體現(xiàn)為數(shù)據(jù)和知識的對抗。

葉蓬也強(qiáng)調(diào)，大數(shù)據(jù)安全分析不是一個(gè)產(chǎn)品分類，而是一種技術(shù)，一種安全分析理念和方法。大數(shù)據(jù)安全分析技術(shù)正在重塑整個(gè)信息安全產(chǎn)業(yè)，體現(xiàn)在安全防護(hù)架構(gòu)、安全分析體系和業(yè)務(wù)模式等諸多方面，各種安全產(chǎn)品也正在被大數(shù)據(jù)安全分析技術(shù)重塑。

【本文摘錄自中國計(jì)算機(jī)報(bào)2015年4月6日第12期】