大数据意味着向黑客暴露更多数据?

当有朋友问我是否了解“大数据”的安全问题时,我想到的是,大数据只是更多的数据,所以大数据面对着与其他数据相同的问题,是这样吗?

这似乎过度简化了大数据的问题。在某种程度上说,管理大数据就像带小孩一样,带两个小孩的工作量并不只是一个小孩的两倍,更像是指数关系。随着大数据的增长,潜在的管理问题也会呈指数增长。

对于大数据,你必须明白,它不仅意味着更多数据,它也意味着更复杂的数据,更敏感的数据,它还意味着可能向成功渗入网络的攻击者暴露更多数据。如果潜在攻击者知道你有大量高质量数据,这可能会增加你的攻击面,因为你被视为是极具吸引力的目标。当你进行企业风险分析时,应该考虑这一点。

但当我们谈及大数据时,我们不只是谈论体积或者数量。大多数人都会谈到Velocity(速度),即数据进入企业环境的速度。就个人而言,我认为Variety(种类)的概念更有趣。这是什么数据?管理大量PHI数据要比管理混合数据(包括PHI数据、PCI数据、医疗数据和人口数据)简单得多。数据的相似度对数据管理有着巨大的影响。这些数据的相似度如何?信息更多样化,用于支持这些信息的基础设施就更复杂。

支持大数据的IT部署与支持数据的操作更相关,而不是数据的安全性。可扩展基础设施、并行处理、数据复制和大量内存中处理只是关于大数据操作的一些讨论。但对于我们这些安全人员来说,大数据安全意味着什么?

1.了解数据

你拥有大量数据,但是你了解这些数据吗?你有PCI数据,还是PHI数据,还是隐私企业数据/客户数据?在你担心别的事情之前,你需要了解大数据中包括哪些数据。了解大数据可以帮助你更好地管理这些数据,并让你能够发现异常数据。清理不相关的或者错误的数据是不可以掉以轻心的工作。

2. 基础设施问题

可用性绝对是一个安全问题,所以请确保你具有适当大小的基础设施。你的网络速度足够快以支持数据吞吐量需求吗?你具有足够的CPU容量来支持数据在应用程序、数据库和存储设备间的移动和管理吗?你有足够的磁盘空间来存储这些数据吗?你有足够强大的硬盘管理程序吗?这些都是管理大量数据所需要考虑的标准IT问题。在很多方面来看,数据越多,越难保护,你的解决方案需要随着数据的增加和数据需求来扩展。你可以实时加密PB级或EB级的数据以确保数据满足业务要求(包括会议时间要求)吗?

3. 了解时序限制

时序是非常重要的因素。你的数据有生命周期吗?例如,从时序性来看,临床医疗信息显然要比典型的制造业指标数据更重要。更直白地说,有些数据如果不能及时管理和分析的话,将会失去部分价值。你认为如果Phalanx导弹防御系统花五分钟来评估威胁和响应,这个系统还会有任何价值吗?答案显然是否定的。这无疑推动了IT容量和吞吐量要求,有时候,时序性并不重要,不过在很多情况下,旧数据可能已经不相关了,数据的生命周期比我们想象的更重要。

4. 了解内容数据

这是对上述三个问题的直接扩展,帮助我们了解大数据。当数据有具体内容,我们可以将其作为信息来管理,而不是字节和比特。它是PHI数据,还是PCI数据,或者个人信息?我们可以更深入地挖掘这种数据,通过内容来管理这些数据,而不只是将其作为“数据”对待。以智能的方式来处理这些数据还可以让我们以类似的方式来处理具有类似内容的数据,我们可以在这些数据间建立关系。

虽然大数据可能只是“数据”,我们真的不希望它们只是“数据”,我们希望它们是“信息”(即具有内容的数据)。大数据作为数据分析来源比单纯作为“数据”更具价值,这也是为什么数据内容和相关性非常重要的原因,我们可以通过数据内容和相关性让数据变得更加“智能”,你不只是谈论“医疗数据”,而是谈论独特的病人标识、过敏症、当前处方等信息;你不仅仅是谈论“制造数据”,而是谈论具体的库存物品、供应商、商品价格、销售价格、买方等;你不只是在谈论安全事件数据,而是在讨论IDS和内部系统报告针对Modor系统(这是一个运行Oracle 11g Enterprise的Windows Server 2008 R2 SP1,包含所有临床病人信息)的攻击。

从某种角度来看,这一切只是加剧了这个问题。我们需要处理大量具有潜在价值、动态的、复杂的数据,然后对这些数据进行内容分析。这些分析本身,以及用于创建这些分析的流程,也是非常有价值的。毕竟,如果我们不能从大数据分析中得到相关情报信息的话,大数据真的只是一堆数据。这也让我们认识到有必要保护这些分析建模和结果,以及对它们的访问。