压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

大數(shù)據(jù)時代的來臨，企業(yè)不僅要學(xué)習(xí)如何挖掘數(shù)據(jù)價值，還要竭盡所能的進行安全整合，以免遭到更強有力的攻擊，降低風(fēng)險。近日，在參加“OWASP 2015中國應(yīng)用安全論壇–業(yè)務(wù)安全之大數(shù)據(jù)分析”會議上，WebRAY創(chuàng)始人權(quán)小文先生表示：“任何事物都有存在的兩面性，大數(shù)據(jù)也是如此，雖然黑客盯準(zhǔn)了它，但大數(shù)據(jù)一樣可以用來反擊。基于大數(shù)據(jù)分析的內(nèi)網(wǎng)異常檢測技術(shù)，已經(jīng)為有效發(fā)現(xiàn)和阻斷內(nèi)網(wǎng)攻擊的做好了準(zhǔn)備。”

【W(wǎng)ebRAY創(chuàng)始人權(quán)小文】

APT防范思路“掉頭”內(nèi)網(wǎng)

企業(yè)內(nèi)網(wǎng)承載大量的核心資產(chǎn)和機密數(shù)據(jù)，雖然用戶采用了層層疊加的網(wǎng)絡(luò)安全防護產(chǎn)品，SOC、監(jiān)控中心、網(wǎng)管系統(tǒng)、流量分析系統(tǒng)等處處把關(guān)，但出現(xiàn)在內(nèi)網(wǎng)的攻擊和泄露事件并未減少。究其緣由，這與內(nèi)網(wǎng)安全數(shù)年來不能改變的傳統(tǒng)防護技術(shù)有關(guān)，更與內(nèi)網(wǎng)入侵事件所處的場景化有關(guān)。

那么，何為“傳統(tǒng)”、何為“情景”呢？權(quán)小文做出了如下解答：

他指出，“內(nèi)網(wǎng)防護現(xiàn)狀是離散的、非體系化的防護方法，而大量的安全事件或者是內(nèi)部員工的惡意、無意造成，或者是長期的潛伏或離職意向前的突發(fā)行為。因此，要想在內(nèi)網(wǎng)發(fā)現(xiàn)不法人員盜取數(shù)據(jù)的’行走軌跡’，就要借助防御APT攻擊的思路，針對內(nèi)網(wǎng)定制化的情景，通過獲取樣本，建立正常行為模型，然后分析內(nèi)部網(wǎng)絡(luò)流量或終端服務(wù)器上的行為，做到情景感知，這將是有別于傳統(tǒng)防御方案的新起點、后續(xù)監(jiān)測和分析的觸發(fā)點。”

據(jù)了解，APT攻擊防范的難點在于，黑客采用了高度定制的代碼，有時很可能只適用“一次”，隨之潛伏下來，由于沒有已知的特征，所以這些攻擊很難被傳統(tǒng)對檢測手段發(fā)現(xiàn)。而靜態(tài)檢測無法檢測到深度攻擊行為，但動態(tài)檢測由于存在大量的環(huán)境組合，無法窮舉，所以不應(yīng)該使用任何一種單獨的方法對目標(biāo)進行檢測，這就需要把所有信息關(guān)聯(lián)起來分析。而針對內(nèi)網(wǎng)環(huán)境，WebRAY所倡導(dǎo)的方法，是把有效對付APT攻擊的成功經(jīng)驗、關(guān)聯(lián)分析等技術(shù)部署在企業(yè)內(nèi)網(wǎng)情景中，而這必然離不開大數(shù)據(jù)技術(shù)作為“支點”。

大數(shù)據(jù)帶來“情景”分析新機遇

內(nèi)網(wǎng)安全的重要性不言而喻，那么，用戶部署安全攻擊防護產(chǎn)品、終端病毒的防范、對服務(wù)器加固、網(wǎng)絡(luò)隔離、部署身份認(rèn)證和安全審計系統(tǒng)，這系列動作的目的又是什么呢？不外乎形成一個有效的流程：預(yù)警→監(jiān)控→溯源→安全事件責(zé)任認(rèn)定。但是，現(xiàn)實與夢想總有差距。

權(quán)小文表示，大數(shù)據(jù)技術(shù)應(yīng)用帶來了內(nèi)網(wǎng)檢測預(yù)警新形態(tài)和新機遇。他說，“由于傳統(tǒng)的、基于SOL存儲的安全信息無法整合分析，只能對可以定義的數(shù)據(jù)進行存儲，對于不能定義的數(shù)據(jù)丟棄，在數(shù)據(jù)的完整性層面勢單力薄。而大數(shù)據(jù)系統(tǒng)采用NoSQL的非結(jié)構(gòu)化存儲，這種技術(shù)突破了之前SOC等系統(tǒng)采用的SQL存儲的模式，可以保存所有數(shù)據(jù)，保證了數(shù)據(jù)的完整性。”

作為大數(shù)據(jù)分析平臺，采集與存儲階段都要盡可能保證數(shù)據(jù)完整性，而WebRAY方案從路由器旁路采集數(shù)據(jù)流量、服務(wù)器狀態(tài)、安全設(shè)備的日志和相關(guān)信息，同時采用漏洞掃描器，主動去掃描檢測數(shù)據(jù)，構(gòu)建大數(shù)據(jù)分析的因子，提高了判別的準(zhǔn)確性。另外，大數(shù)據(jù)分析也讓W(xué)ebRAY在業(yè)內(nèi)提出了先進的5W1H分析方法，并以此為主線，滿足了用戶內(nèi)網(wǎng)安全流程的建設(shè)目標(biāo)，實現(xiàn)了內(nèi)控管理的情景感知。

5W1H分析系統(tǒng)中的情景感知因素有Who、When、Where、What、Why、How，通過這些因素可有構(gòu)建出“主體”到“客體”的訪問行為情景。主體是人或應(yīng)用，客體是應(yīng)用或數(shù)據(jù)。而情境分析首先關(guān)注審計客體和審計動作，即以What和How為主要關(guān)聯(lián)對象，發(fā)現(xiàn)任何一個存在的異常現(xiàn)象。這些常見的異常情景包括：登錄異常行為（異常時間、異常IP、多IP登錄、頻繁登錄失敗等）、業(yè)務(wù)違規(guī)行為（惡意業(yè)務(wù)訂購、業(yè)務(wù)只查詢不辦理、高頻業(yè)務(wù)訪問、業(yè)務(wù)繞行等）、共享賬號（一個賬號短時間換IP，一個IP登了多個賬號等）。另外，5W1H分析方法在網(wǎng)絡(luò)事件中的應(yīng)用，還可以解決證據(jù)的準(zhǔn)確性、完整性等問題就，并且通過合并、改變、簡化、取消等操作解決證據(jù)存儲瓶頸。

內(nèi)網(wǎng)安全“五步曲”

為了應(yīng)對“新常態(tài)”下的安全風(fēng)險，有效保障業(yè)務(wù)安全，OWASP 2015中國應(yīng)用安全論壇重點圍繞“如何利用大數(shù)據(jù)分析來保障業(yè)務(wù)安全”進行多角度深層次的討論。而WebRAY所倡導(dǎo)的“大數(shù)據(jù)+情景化”的內(nèi)控安全方法更是得到了參會嘉賓的高度認(rèn)可，與此同時，權(quán)小文還建議企業(yè)在內(nèi)控安全管理中，可以采用以下5個具體步驟進行實踐，從而實現(xiàn)大數(shù)據(jù)分析的內(nèi)網(wǎng)異常檢測：

第1階段中的主動采集、掃描、探測網(wǎng)絡(luò)威脅，以及監(jiān)控、識別獲取證據(jù)等，對應(yīng)著登錄異常行為；第2階段中的數(shù)據(jù)關(guān)聯(lián)、分析、歸一化，對應(yīng)源IP偽造、DDoS攻擊識別等流量異常行為；第3階段中的深度分析，用于形成完整的回溯流程、確定單獨事件的5W1H元素，形成混合模式的5W1H鏈條、以及針對Who鏈條的信譽體系庫；第4階段的計算與專家?guī)旖槿胧窃谇懊?個階段后開始，此時已經(jīng)能夠重現(xiàn)完整事件過程，而專家的介入，是為了校對事件追溯過程，通過內(nèi)置的事件分析模版，進行責(zé)任匹配等；第5階段是定責(zé)，這包括了初步認(rèn)定結(jié)果、展示相關(guān)問題及其證據(jù)鏈、更新WHO信譽庫。

最后，權(quán)小文表示：“用戶需要重點注意的是在第2階段，需要事先定義好安全情景，其完整的功能包括數(shù)據(jù)關(guān)聯(lián)分析、歸并、形成Key-Value形態(tài)的范式，NOSQL存儲，便于檢索等，其目的在于解決重復(fù)登錄系統(tǒng)、異地登陸、繞行登錄等異常信息。而這個階段也是發(fā)揮’大數(shù)據(jù)+情景化’的關(guān)鍵所在，是大數(shù)據(jù)內(nèi)網(wǎng)安全達到情景化、可視化、感知化，責(zé)任化的優(yōu)勢所在。”