传统安全管理技术面临新挑战
- 来源:中国计算机报 smarty:if $article.tag?>
- 关键字:大数据,互联网 smarty:/if?>
- 发布时间:2016-01-13 11:45
——启明星辰新一代安管平台体现主动智能化
随着互联网、智能移动设备、物联网技术和云计算的快速发展,组织和企业的信息系统每天产生大量的数据,而且产生的速度越来越快,这使得我们已经进入了大数据时代。大数据时代的信息数据具有海量、高速、多样、低价值密度等特点,如何对安全大数据进行管理和分析,帮助用户获取智能的、深入的有价值的信息变成了信息安全分析和管理领域的重要课题之一。
传统的安全管理平台在满足客户安全管理需求、支撑客户安全管理工作方面起了很关键的作用,但随着信息安全威胁的不断变化,企业和组织的日常信息安全管理工作面临着新的形势。企业和组织需要应对的来自于网络和线下的信息安全攻击和威胁变得日益复杂,这些威胁具有隐蔽性强、潜伏期长、持续性强的特点。
针对复杂的信息安全攻击,企业和组织尤其需要加强对核心敏感数据和业务系统的保护,防止由于信息安全攻击给企业和组织带来的损害。同时,企业和组织需依法加强对信息安全的管理以满足国家政策法规的要求,这对企业和组织的信息安全管理和分析提出了新的挑战。
传统安全管理平台的分析方法和处理能力已无法满足海量数据环境下的信息安全分析和管理的需求,除了存储留存取证的难度增大外,安全检测与分析的难度逐步增大。
调查效率低下与缺乏有效分析方法
在信息安全分析和管理工作中,尽管有安全分析等自动化工具的大量建设和部署,但最重要的仍然是人——安全分析师。安全分析师的工作是无法被替代和减少的,只能越来越重要。而在大数据时代,安全分析师必须借助有效的分析工具才能完成对海量数据的分析和调查,否则将会被浩如烟海的数据累死而一无所获。
传统的安全管理平台通过对关系型数据库的查询来帮助安全分析人员完成安全事件的调查,随着数据量增大,查询效率变得非常低,查询延时大,再加上复杂的组合查询条件,查询效率和时延根本无法满足安全分析人员对事件调查的需求,急需改变这种查询低效的问题。
事件关联分析一直被认为是传统的安全管理平台中识别安全威胁的关键技术。但多年以来,一直饱受诟病。传统的关联分析基本都属于基于规则的关联分析,即针对威胁的已知场景提取威胁特征,并依据这些特征对后续数据进行匹配和分析,以发现符合特征的安全威胁,特征关联只能快速识别规则所能描述的已知的问题,无法识别未知的攻击,或者是尚未被描述成规则的攻击和行为。
当前的攻击和违规越来越隐蔽和复杂,如0Day漏洞和APT攻击都利用了未知的漏洞和威胁方法,基于规则的分析则无能为力。这种被动关联的效果严重受制于规则库的积累。而规则的撰写又需要专业的安全领域知识,因此实用性受到很大制约。客户迫切需要一种更加有效的高级分析机制,借助机器学习技术和行为建模技术,智能化地去识别网络中的攻击,尤其是未知的攻击行为。
传统的关联分析以事件为主要分析对象。由于事件自身存在很多局限性,分析出来的结果也难以准确。因此,需要将更广泛的安全要素信息纳入关联分析的范围之中,包括情境信息(譬如资产信息、拓扑性能、可用性与性能信息、弱点信息、威胁情报信息、身份信息、业务信息等)、网络流信息,甚至是原始报文信息。
大数据时代的信息安全分析正在转变成为如何对海量的数据进行分析和挖掘。通过海量数据的深度挖掘与机器学习,使安全分析人员可以有效地应对高级可持续性威胁(APT,Advanced Persistent Threat)和来自内部人员的威胁,发现未知威胁。只有通过针对海量数据的分析挖掘才能使客户应对日益复杂的攻击和威胁,实现由“被动发现”到“主动发现”的信息安全分析和管理的升级。
预警能力不足与系统交互能力有限
随着信息安全建设逐步引向深入,管理者越发体会到了安全工作是全局一盘棋。网络安全管理工作急切需要获悉全网的整体安全态势。传统的安全管理平台对实时产生的数据进行分析的能力较强,为组织的安全管理人员在海量数据态势要素信息的获取、分析和展示等诸多方面提供有力的支撑,帮助安全管理人员掌握整体安全态势。但如何从当前和历史数据中对未来趋势进行预测的能力较弱。
目前态势感知和分析的方法还比较少,如何根据已有的数据产生早期预警,对可能发生的威胁进行提前预防,这将能更好地提高组织的信息安全分析和管理水平。随着处理数据规模的快速增长,如何从海量数据中快速感知当前组织面临的信息安全态势对安全管理平台提出了新的挑战。
尽管传统的安全管理平台提供了一些数据可视化的工具,可使安全分析的数据和结果可视化地呈现给安全分析人员。但现有系统的交互能力都较弱,安全分析人员使用安全管理平台与数据进行交互分析,如事件调查、历史回溯、条件组合查询、结果查看等的效果都有待提高,才能满足安全分析人员的需求。无论何时,人都是信息安全分析和管理的第一要素,因此良好的人机交互才能为安全分析人员提供了一个有力的武器,良好的工作舞台。
积极主动进行安全管理
当前的安全管理平台以安全事件为核心分析要素,偏事后分析,以被动响应为主。安全事件是对已经或者正在发生的行为的描述,分析结果应该更多地指导我们进行故障处置和应急响应。对于客户而言,更希望安全管理平台能够告诉他们哪里可能会出问题,而不仅仅是哪里出了问题。因此,积极主动的安全管理至关重要,客户迫切需要一套前摄性的安全分析、管理机制和技术支撑手段,尤其是能够主动地应用各种安全威胁情报信息。
应对安全大数据带来的新问题,还需要用大数据的技术来解决。只有将大数据分析技术充分融合到现有的安管平台技术架构中才能使传统的安管平台焕发新生。某些厂商推出了安全管理平台软件,这一软件将很多安管人员从繁琐的安管工作中解脱出来。
近期,启明星辰继续深挖该平台的应用热点,将融合大数据技术的新一代安管平台及其配套机制。这一套安管平台结合业务管理,采用主动智能的管理技术和融合大数据技术的软件架构,为组织的核心战略和业务使命达成服务,满足安全合规和监管需求,为安全运维人员和分析师提供日常安全分析和威胁管理的工作利器,为组织运营管理提供决策支撑,真正成为组织信息安全保障体系中的核心和工作中枢。
在DT时代,融合大数据技术的SOC安管平台将具有以下技术特征:以数据为核心,以新技术为支撑,提供低成本、高可靠、可弹性扩展的数据处理能力,满足组织对异构海量安全数据的处理需求;以关联分析和行为分析为两翼,为安全管理人员提供智能化分析方法,以应对日益复杂的隐蔽攻击和威胁,从数据中发现价值;以运维和管理为动力,提供流程辅助、合规管控、安全分析和决策支持等能力;同时,通过可视化技术和人机交互为安全管理人员提供工作接口,展现数据价值。
本报记者 赵明