以大数据为中心的安全系统是否已成过去式?根据2013 RSA大会上的一个安全专业会议,许多未使用安全性大数据收集系统去发现攻击行为的组织可能已经处于落后位置。
在一次围绕使用大数据实现更优安全监控的讨论中,小组成员讨论了分析大量网络安全事件的重要性。纽约投资银行的CISO Ramin Safai指出,他的公司每秒会有5,000次网络事件,每天会从中捕捉25 TB数据;他的三人网络分析团队通常会注意其中50个问题,其中两人验证它们是否合法。
而在行业的最高领域,eBay的X.commerce部门信息安全官Alex Tosheff指出,他的组织在内部每秒会发现10,000个事件,每天会记录近1 PB的事件数据,这还不包括他所支持的外部“生产”环境,即eBay.com、StubHub.com等。
所以,为了寻找重要的安全事件,许多组织部署了一些系统,专门用于捕捉最重要的数据——来自网络、终端、数据库、应用和身份与访问管理系统的数据,但是这只是最简单的部分。发现那些极少数预示潜在攻击的事件才是最困难的工作。
Overstock.com技术副总裁Carter Lee说:“重要的是,您的分析引擎需要与所有最佳组合技术协作。”他指出,开放系统通常优于大型供应商产品,因为大厂商需要长期锁定用户,而且不经常为新威胁升级新补丁。
Tosheff指出,他的组织已经坚持这种模式5年时间了,而他们组合使用一些非市场销售和自行开发的工具,这些工具使用自定义的规则集,专门用于查找数据泄漏事件。我们尽量与时俱进。这是技术竞赛,过程很有难度,但这是我们一定要做的事情。
大数据2.0:使用数据发现攻击行为
但小组成员指出,只是发现恶意事件还不够。伯明翰咨询公司IT-Harvest的Moderator Richard Stiennon指出,他在去年与大型防御供应商合作时首次认识到这一点。他注意到一个趋势,他们用大数据发现和关联一些重要攻击指标,并将它们按行为进行分类——由已知威胁发起人发起的有规律的、多向攻击。
Tosheff指出,他所在公司的电子犯罪检测小组也具有类似的职责,它将自己的内部情报与外部信息源组合,从中发现各种恶意攻击者,包括欺骗、黑客或数据盗窃。然后,重要结论会被记录到一个通用词典中,并且通过一些机制(如金融服务信息共享与分析中心(FS-ISAC))快速共享到各个行业组中。
Datashield咨询的CISO Praveen Money说:“跟踪攻击行为非常重要。如果不这样做,那么赶紧开始。这些组合功能可以帮助您检测和防御下一次攻击。通过将事件进行关联和发现通用属性,企业就可以发现攻击者的身份及其后续行为,从而缩短将来检测与响应的时间。重要指标本身并没有太多含义,但是如果将它们关联在一起,您就可以发现一些不良情况。将它们关联后归纳为一个攻击行为,响应就可以取得突破性进展。”
Splunk比SIEM系统更受欢迎
有意思的是,几乎所有小组成员都表示,他们都使用成熟的数据包捕捉与分析工具 Splunk作为他们主要的数据分析工具,而不使用昂贵的商业安全信息与事件管理(SIEM)产品。
Safai指出,即使他的组织将各种日志保存到一个SIEM中,这些数据也会再保存到Splunk中,因为没有其他工具能够处理这样大的数据容量与复杂性。虽然Safai曾经与SIEM供应商沟通过,但是他们都不能够提供与之匹配的功能:快速定位到数据集,查看特定的时间或设备,精确查找某个事件,然后再返回,用这个事件作为起点,寻找一些趋势或类似的事件。
Safai说:“正是这个功能及其速度决定了我们的选择。我们的SIEM做不到这一点;它很慢,需要24个小时,而Splunk只要2分钟。”Tosheff评价Splunk说:“它与工程师想象的工作方式紧密吻合。它是一个灵活的工具。一个SIEM还无法覆盖所有潜在的数据来源。他说:“您必须努力建立适应您自己环境的工具。您是不可能直接用钱买到这样的工具。”
迫切需要更多的数据人才
但是,即使有最佳组合的商业工具与自定义规则集,小组成员仍然认为,还需要有训练有素的天才数据分析人员才能分析这些异常现象和机器无法总能发现的攻击行为。
而天才数据分析人员可能百里挑一。有一位成员在会议上指出,数据人才是现在IT行业中最吃香的职业。Safai说,选择由大学合作培养的学生负责分析数据,放弃一些实际工作经验,可以在一定程度上缓解这个问题。
Money说:“从我的经验看,您可以在工程社区发现一些天才数据分析人员。”他指出,他的公司将一些IT人员指派到各种不同的职位上,让他们有机会参与数据分析工具,然后为他们提供各种行业会议的差旅费作为奖励。
Lee说:“如果您认识18岁的孩子,那么把X-Box游戏机控制器从他们手中拿走,然后告诉他们好好学习进入这个前途无量的领域。”这可能最能够反映整个行业对数据分析天才的缺乏。