科技与时俱进,网路犯罪、渗透、窃盗手法也不断精进翻新,特制的恶意软体可以轻松躲过侦测,进入企业盗取资讯如入无人之境,传统的安全软件工具顿时失去用武之地。
难道我们只能坐以待毙?当然不是。安全业者手中还握着一项打击网路安全犯罪的利器,那就是大数据(Big Data)!
根据Wiki,大数据在2009年开始成为网络热门用语,火红程度不输云端,指的是所涉及的资料量规模巨大到无法透过目前主流软件工具处理,而此技术可在合理时间内达到撷取、管理、处理、并整理大量数据,更积极帮??助企业取得达成经营决策目的资讯。
不过可别以为大数据只能处理大量资料,一经活用,它可以成为网路罪犯的照妖镜!
凡走过必留下痕迹
这些所谓的进阶攻击(Advanced Threat)有项致命弱点,它们就像习惯在凶案现场留下个人记号的惯犯,攻击活动会在一般使用者资料物件或IP位址中产生异常值,只要能揪出这些异常值就可以挫败这些攻击活动。
要找出异常就得仰赖大数据的帮忙。首先,必须找到方法聚集IT设备产生的数据和纪录,举凡防火墙、防毒、入侵侦测软件的数据到视窗、电邮、网络、网域名称等非安全类的数据都要算在内,这些数据具有巨量(volume)、即时(velocity)、多样(variety)特性,计量单位更以兆兆位元组(Terabyte)计算,传统数据储存根本无法处理,这时只能求助大数据了。
除此之外,防御方还需要能够即时进一步串连和分析数据,才能抽丝剥茧让那些披着羊皮攻击无所遁形。
坏消息是,握有这些数据后能否参悟其中玄机那又是另一门课题了,这些恶意攻击不循常规也没也固定模式,要想克敌制胜只能“设身处地”问自己“如果我是罪犯会怎么做?”
举例,如果你的电脑收到不明邮件和不明连结,又或者是网域名流量异常暴增,请提高警觉,因为你可能已经受到钓鱼攻击(Phishing)或渗透。
大数据平台降临
传统的安全资讯及事件管理(SIEM)产品效能非常有限,无法准确快速的找出IT 系统和基础结构中的异常值,好在这几年已有企业打造出崭新的大数据安全平台,不必旷时费日,几分钟内便可解决问题和侦测安全事件,Splunk 与Hadoop就是这种情报软体的领头羊。
大数据平台在2013年将如雨后春笋冒出,其用途广泛不受限于侦测网路攻击,还可应用在鉴识、案件调查和诈欺侦查等,有了平台上建置搜寻用的快速索引,与其他用途相辅相成,它的出色特性让我们不再只有挨打的份。大数据技术将带来不同光景,值得期待。