大數據安全分析:學習Facebook的ThreatData框架
責編:admin |2014-08-01 14:05:24在本文中,專家Kevin Beaver將探討企業如何學習Facebook的ThreatData框架安全分析來加強企業防御。
自成立以來,Facebook一直是網絡攻擊的目標。他們積極抵御惡意軟件和防止欺詐,并且他們在這方面的努力經常見諸報端。然而,可以很公平地說,Facebook面臨的實際威脅更加嚴峻。
當面對威脅時,知識就是力量。很多企業都認識到威脅分析和安全分析的重要性,它們不僅可以幫助阻止當前威脅,還可以提高事件響應。最近,Facebook宣布通過其ThreatData框架進軍大數據安全分析領域。
在本文中,我們將討論什么是ThreatData框架,它是如何工作的以及為什么企業應該知道它的存在,還有信息安全專業人員可以從中學到什么來更好地管理企業面臨的威脅。
ThreatData框架內部
對于ThreatData,Facebook聲稱它能夠快速收集、處理和分析大量數據,以及時對出現的威脅作出反應。
這個大數據安全分析框架包括三個主要部分:
數據收集:這是從Facebook內部和外部的各種來源收集的各種格式的數據(被稱為ThreatDatum),這些來源包括VirusTotal、Web瀏覽器擴展和專門從事這種數據收集的安全供應商。
數據存儲:這些是存儲數據和提取威脅情報的庫,被稱為“Hive”或者“Scuba”。
實時響應:這是Facebook對威脅的響應,其中包括URL阻止和安全信息及事件管理(SIEM)集成。
從本質上講,ThreatData對互聯網正在發生的惡意活動提供了更全面和更大的可視性。這些發現和檢測功能正是大多數企業的信息安全計劃中缺乏的功能。與SIEM的優勢類似,這種詳細程度允許信息安全專業人員能夠看到更大的視圖,而不是更為典型的對產品或功能孤島的安全管理。
ThreatData框架對一般企業意味著什么
那么,為什么這會有用呢,特別是對于與Facebook不怎么相關的企業
ThreatData框架是創新框架類型的模型,高風險企業正在部署這種框架來解決已知和新出現的安全威脅,并且,這可能為一般企業提供很多經驗教訓。
雖然大多數企業沒有Facebook那樣的安全資源,但該框架的很多威脅情報“功能”并不需要大量資源,企業可以利用最新釣魚網站上的信息、互聯網中的惡意軟件以及應對這些威脅的相關趨勢。
另外,企業可以外包部分(如果不是全部)這些功能到很多第三方供應商(例如Dell SecureWorks和Alert Logic),包括對企圖攻擊、已知網絡惡意軟件感染以及需要注意的行為和簽名發出警報,包括實時修復Web應用防火墻等技術。
在很多企業,特別是中小企業,負責安全的人員通常不知道在特定時間事物所處的位置。即使企業選擇外包這些服務,他們通常沒有足夠的人力或者利基安全專業技術來及時合理地管理這些威脅,更不用說響應威脅。但是,企業仍然有機會來獲得對企業環境的控制權。
企業防御的真相
雖然了解敵人很重要,但這并不夠。很多企業忘記信息風險由威脅和漏洞組成。企業永遠無法真正消除威脅,不過這沒關系,畢竟,如果企業不存在涉及補丁、密碼和保護不當信息的漏洞,這些威脅還何以構成風險呢
每周我們都會看到有關“重要新威脅”的頭條新聞以及關于“你現在必須抵御的威脅”的聳人聽聞的故事。雖然這些消息很嚇人,但大多這些問題并不需要對企業的安全做法做出重大改變。來自Verizon、Trustwave等的研究顯示,攻擊者通常會瞄準來自微軟、甲骨文、Adobe和思科的最常見的更新產品中的基本的(和可修復的)漏洞,這些是企業必須首先解決的問題。
企業必須優先完成這些工作。大多數企業不需要新的工作目標;目標幾乎總是在他們眼前。企業不應該對相同的老問題投入金錢、人力資源和新技術,企業首先需要糾正導致問題的情況。如果企業不解決這些問題,無論他們部署任何威脅情報框架來獲取情報,都無法解決根本問題。
這并不是說Facebook的ThreatData框架不會為其業務增值,或者從長遠來看幫助那些利用或允許Facebook訪問的企業。但這對Facebook的用戶群肯定是好的。這種系統并不會對企業安全團隊正試圖完成的任務帶來影響。企業作出的每個安全決策都需要考慮關于現有和新威脅的全面而詳細的信息,例如ThreatData框架提供的信息。此外,有些安全漏洞不受企業的直接控制,例如零日漏洞和Android中的無數漏洞。
企業需要明智地選擇其安全做法。ThreatData框架等大數據技術并不能解決企業所有的安全問題,但它們肯定可以補充企業的安全方案,甚至能夠為面臨高級威脅的企業提供價值。企業能做的最好事情就是從ThreatData中學習經驗。Facebook不僅有強有力的安全事件檢測和響應做法,而且他們還能夠看到更大的視圖。可以說,響應是新的檢測。這并不是在于阻止攻擊者利用所有已知漏洞,而是在于如何最小化對網絡的影響。Facebook的ThreatData框架超越了傳統NIST和ISO-IEC安全標準,它可以作為構建更全面的方法和管理信息安全風險的基礎。