大数据时代安全要怎样的分析技术
网络时代的发展日新月异,技术与体验的改变与改进正变得异常迅速。如今,我们的网络已经从千兆迈向了万兆时代,这便使得诸多网络安全设备要分析的数据包数据量急剧上升。而随着下一代防火墙等安全产品的出现,安全网关所要进行的分析的数据量大增、安全监测的内容不断细化使得安全产品所要监测和分析比以往更多的数据。除了数据包、日志、资产数据,更多的诸如漏洞信息、配置信息、身份与访问信息、用户行为信息、应用信息、业务信息、外部情报信息等正在逐渐加入安全要素信息中。 正如上述情况所说的那样,随着企业和组织安全体系架构变得越来越复杂,与之俱来的是各类安全数据正在变得越来越多。而传统的分析能力已不足以应对当下安全数据的分析。在面对新型威胁的兴起时,传统的分析方法无法对更多的安全信息做出准确分析,也就更加无从谈起更加快速的做出判定和响应。而以上信息安全所面临的这些问题,正是大数据时代带来的挑战。
在此背景下,对信息安全业而言,如何将大数据技术应用于安全领域、将大数据分析技术应用于信息安全的技术的大数据安全分析的需求正变得愈加急迫。而与此同时,安全数据的数量、速度、种类的迅速膨胀,不仅带来了海量异构数据的融合、存储和管理的问题,更是对传统的安全分析方法带来了挑战。
目前,市场上绝大多数安全分析工具和方法都是针对小数据量设计的,在面对大数据量时难以为继。新的攻击手段层出不穷,需要检测的数据越来越多,传统的分析技术已是不堪重负。
一方面,高速海量安全数据的采集和存储变得困难,而异构数据的存储和管理同样变得困难;而传统的安全分析技术对历史数据的检测能力很弱,对安全事件的调查效率十分低;以往,安全系统相互独立,无法有效地进行协同工作,对于趋势性的威胁更是无法预测,在应对当今诸如APT等高级威胁的攻击时防护效果十分薄弱。另一方面,传统的分析方法大都采用基于规则和特征的分析引擎,必须要有规则库和特征库才能工作,而规则和特征只能对已知的攻击和威胁进行描述,无法识别未知的攻击,或者是尚未被描述成规则的攻击和威胁。
可见,对于大数据安全分析而言,如何以安全数据自身的特点和安全分析为目标,让大数据安全分析的应用更加凸显其价值是十分必要的。
如今,对于信息与网络安全分析出现了两个基本趋势:情境感知的安全分析与智能化的安全分析。Gartner曾经在2010年的两份报告中分别指出:“未来的信息安全将是情境感知的和自适应的。”以及“要为企业安全智能的兴起做好准备。”
情境感知的安全分析,更多地需要利用相关性要素信息的综合研判来提升安全决策的能力,例如:资产感知、位置感知、拓扑感知、应用感知、身份感知、内容感知,等等。利用情境感知分析技术,安全分析会得以在纵深方面得到极大的扩展;而更多的安全要素信息的纳入,也拉升了分析的空间和时间范围。而安全智能则更加强调将过去分散的安全信息进行集成与关联,独立的分析方法和工具进行整合形成交互,最终实现智能化的安全分析与决策。
从长远看,借助大数据安全分析技术,能够更好地解决大量安全要素信息的采集、存储的问题,借助基于大数据分析技术的机器学习和数据挖据算法,亦能够更加智能地洞悉信息与网络安全的态势,从而更加主动、弹性地去应对新型复杂的威胁和未知多变的风险。在未来一段时期内,关于大数据安全分析技术的探究,必会成为新的市场热点。