大數(shù)據(jù)如何應(yīng)用在防御方案中？

■劉文

大數(shù)據(jù)如何應(yīng)用在防御方案中？

■劉文

安全威脅不斷轉(zhuǎn)變，黑客的技術(shù)亦愈來愈高；相反很大比例的網(wǎng)絡(luò)安全廠商卻仍然停留在傳統(tǒng)的防護(hù)方式，那就是針對(duì)網(wǎng)絡(luò)入口進(jìn)行防護(hù)；因此作為企業(yè)也應(yīng)時(shí)刻審查本身正採(cǎi)用的方案是否能滿足現(xiàn)今安全趨勢(shì)，而針對(duì)新式的攻擊活動(dòng)，企業(yè)亦應(yīng)該作出相應(yīng)改變才是致勝之道。

話又說回來，究竟傳統(tǒng)上，黑客攻擊企業(yè)系統(tǒng)時(shí)，其著眼點(diǎn)會(huì)放在那裡呢？概括而言，傳統(tǒng)黑客攻擊心態(tài)上往往是「目標(biāo)為本」，亦即是說在攻擊的設(shè)計(jì)上只針對(duì)特定目標(biāo)，例如針對(duì)入侵系統(tǒng)的某一位置、偷取指定位置的暫存檔案等等；但正所謂「道高一尺、魔高一仗」，現(xiàn)今黑客攻擊的心態(tài)已變得更廣泛，單次攻擊往往反而著眼于攻擊過程，例如會(huì)考慮到完成攻擊后，所偷取的數(shù)據(jù)應(yīng)暫存在受害者系統(tǒng)之中的那一位置才最安全？如何能植入木馬或C&C Server以隨時(shí)監(jiān)測(cè)用戶的最新動(dòng)向而不被發(fā)現(xiàn)等等。

大部份防護(hù)方案針對(duì)網(wǎng)絡(luò)入口

上面都提過，現(xiàn)時(shí)大部份防護(hù)方案主力針對(duì)網(wǎng)絡(luò)入口進(jìn)行檢測(cè)以及攔截等動(dòng)作，但往往卻忽略了一旦誤判又或者被成功入侵后的防護(hù)工作；當(dāng)然不是完全沒有，但對(duì)比針對(duì)入口的防護(hù)功能，明顯在級(jí)數(shù)上有一定差距；其實(shí)企業(yè)在選購(gòu)相關(guān)方案時(shí)，應(yīng)考慮一些能面對(duì)黑客成功入侵后，自動(dòng)作一些動(dòng)作以降低其入侵影響的方案；同時(shí)企業(yè)亦應(yīng)每年針對(duì)IT設(shè)備作審計(jì)，以便及時(shí)揪出問題及保安漏洞，這樣才可確保整體安全。

大數(shù)據(jù)套用到保安方案中

即使企業(yè)找到了一套能符合上方要求的方案，企業(yè)還要解決另一頭痛問題，那就是常見的零日攻擊及漏洞；所謂的零日攻擊就是黑客發(fā)現(xiàn)了一些前所未見的最新漏洞，并通過這些仍未及時(shí)釋出修正檔案的漏洞向目標(biāo)發(fā)動(dòng)入侵/攻擊；這種漏洞的確十分難應(yīng)付，所以企業(yè)的防護(hù)方案亦必須同時(shí)支緩大數(shù)據(jù)以及同時(shí)將防護(hù)功能整合一起，只有這樣企業(yè)才較為能解決到傳統(tǒng)由發(fā)現(xiàn)漏洞-＞分析-＞製作修正檔-＞推送至用戶端所需時(shí)間。

結(jié)合大數(shù)據(jù)的防護(hù)方案我們都曾經(jīng)介紹過，在這種模式下，網(wǎng)絡(luò)相關(guān)數(shù)據(jù)將會(huì)持續(xù)被收集，而同時(shí)系統(tǒng)亦會(huì)不停地進(jìn)行分析，這樣便可以緩解零日攻擊所帶來的影響，并且在漏洞出現(xiàn)前先行估算整體風(fēng)險(xiǎn)指數(shù)。

大數(shù)據(jù)如何塞進(jìn)防護(hù)方案之中？

分析對(duì)于應(yīng)付未知威脅十分重要，通過分析資安人員可進(jìn)一步了解整個(gè)環(huán)境的狀況。對(duì)用戶和全球情報(bào)收集及分析亦有莫大幫助，以下是常見的玩法：

1.不停步分析及檢測(cè)

連續(xù)對(duì)行為進(jìn)行分析可令檢測(cè)更有效，滲入性更強(qiáng)。行為檢測(cè)方法，如沙盒，可作為連續(xù)分析的一個(gè)位置。行為執(zhí)行時(shí)，沙盒的特性令惡意活動(dòng)不會(huì)影響實(shí)際環(huán)境，而所有異常活動(dòng)通過在沙盒之中進(jìn)行分析后，有問題的大部份都會(huì)被捕捉。

2.分析并自動(dòng)生成紀(jì)錄

下一步就是系統(tǒng)會(huì)實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)、文件、異常活動(dòng)等，然后便可進(jìn)一步處理這些信息，并以此建立活動(dòng)紀(jì)錄，對(duì)抵擋攻擊有更大的幫助。

3.預(yù)測(cè)未來攻擊

接著，系統(tǒng)便會(huì)正式結(jié)合大數(shù)據(jù)分析功能，并持續(xù)分析封包、如檢查傳統(tǒng)的病毒識(shí)別簽名檔、MD5等等，對(duì)比資料庫(kù)后自動(dòng)封殺已知危機(jī)；而持續(xù)分析常見的攻擊趨勢(shì)后，亦可針對(duì)未來的攻擊活動(dòng)稍為分析，從而讓資安團(tuán)隊(duì)能及早作好準(zhǔn)備。

4.調(diào)查更快更有效

真實(shí)的網(wǎng)絡(luò)活動(dòng)配合上Indicators of Compromises(IoCs)模式為基礎(chǔ)，從而加快資安團(tuán)隊(duì)了解和審視攻擊行為；藉由結(jié)合大數(shù)據(jù)分析，安全團(tuán)隊(duì)便可以更快識(shí)別特定的塬因，從而能盡可能阻止即將到來的進(jìn)一步動(dòng)作，提升反應(yīng)以及整體效率。