공격적인 행동을 발견 싶어 큰 데이터 2.0:ciso

과거에 큰 데이터 중심 보안 시스템은? 사용 하지 않는 보안 큰 http://www.aliyun.com/zixun/aggregation/12240.html의 많은 2013 RSA 대회에서 보안 전문 회의 따르면 "> 데이터 수집 시스템 공격 뒤로 위치에 이미 있을 수 있습니다 발견 하는 조직

더 나은 보안 모니터링에 대 한 큰 데이터의 사용 주위 토론, 팀 구성원 많은 네트워크 보안 이벤트 분석의 중요성을 논의 했다. 뉴욕 투자 은행의 Ciso Ramin Safai는 그의 회사를 캡처 데이터의 매일 초당 5000 네트워크 이벤트 해야한다 지적; 그의 3 인 네트워크 분석 팀 일반적으로 고 지 50, 그들 중 두 명은 법적 다는 것을 확인.

업계의 상단에, 알렉스 Tosheff, ebay의 X.commerce 부서에서 정보 보안 책임자를 말한다 그의 조직 것입니다 초당 10000 이벤트 찾아서 기록 거의 1 PB 이벤트 데이터의 하루, 그를 지 원하는 외부 "생산" 환경 제외 즉 ebay.com, stubhub.com 및.

그래서, 중요 한 보안 문제를 찾기 위해 대부분의 조직에서는 배포 네트워크, 단말기, 데이터베이스, 응용 프로그램에서 가장 중요 한 데이터를 캡처 하도록 특별히 설계 된 시스템 및 id 및 액세스 관리 시스템-하지만 이것은 단순한 부분 이다. 거의 이벤트 잠재적인 공격 예를 찾기 어려운 일 이다.

"그것은 중요 한 분석 엔진 모든 최고의 조합 기술, 협력" 카터 리, Overstock.com 기술의 부사장 말했다. 그는 오픈 시스템은 일반적으로 대형 공급 업체 제품 보다 더 큰 공급 업체는 오랜 시간에 대 한 사용자를 잠그고 자주 새로운 위협에 대 한 새로운 패치를 업그레이 드 하기 때문에 지적 한다.

그의 조직, 5 년간 주장이 모델에 되었습니다 그리고 그들은 데이터 공개 이벤트에 대 한 보고 하도록 설계 된 사용자 지정 규칙 집합을 사용 하는 마케팅 비와 자체 개발 도구의 조합을 사용 하는 Tosheff는 지적 한다. 우리는 시간을 계속 하려고 합니다. 기술 경연 대회 및 그것은 어려운 과정 이지만 우리가 해야 할 것 이다.

공격 행동을 데이터를 사용 하 여 큰 데이터 2.0:

그러나 패널의 회원 그것이 악의적인 사건 찾을 정도로 지적. 사회자 리처드 Stiennon, 컨설팅 회사 It-수확, 버밍엄의 그가 처음 그 대형 방위 공급자와 일이 지난 1 년을 인정 했다. 식별 및 큰 데이터 연관 시킬 중요 한 공격 통계와 행동을 정기적, 다 방향 공격으로 알려진된 위협 초기자에 의해 시작 그들을 분류 하는 경향이 지적 했다.

Tosheff는 그의 회사의 전자 범죄 탐지 팀도 비슷한 역할을 하고있다, 그것은 그것의 자신의 내부 정보 및 외부 정보 소스를 다양 한 악의적인 공격자, 사기, 해커 또는 데이터 도둑 질을 포함 하 여 발견을 결합 지적 했다. 중요 한 결론 다음 제네릭 사전에 기록 하 고 신속 하 게 금융 서비스 정보 공유 및 분석 센터 (ISAC FS)와 같은 메커니즘을 통해 산업 그룹에서 공유 됩니다.

"공격을 추적 매우 중요 한," 말했다 Ciso Praveen, Datashield 컨설팅. 그렇지 않으면, 다음 시작. 이러한 조합 기능 감지 하 고 다음 공격에 대 한 방어를 도울 수 있다. 이벤트를 연결 하 고 공용 속성을 발견, 엔터프라이즈 공격자와 후속 동작, 미래의 탐지 및 응답 시간 단축의 정체성을 발견할 수 있습니다. 중요 한 지표, 자체에 많은 의미 없어 하지만 당신이 함께 그들을 연결 하는 경우 몇 가지 나쁜 상황을 찾을 수 있습니다. 공격으로 그들을 연결 하 여 응답 돌파구를 만들 수 있습니다. "

Splunk는 씨엠립 시스템 보다 더 인기가 있다.

흥미롭게도, 거의 모든 팀 구성원이 정교한 패킷 캡처 및 분석 도구 Splunk를 사용 하 여 기본 데이터 분석 도구 보다는 비싼 비즈니스 보안 정보 및 이벤트 관리 (SIEM) 제품으로는 그들은 말한다.

Safai는 그의 조직은 씨엠립 다양 한 로그를 저장 하는 경우에 데이터는 다음에 저장 Splunk 다른 도구 같은 큰 데이터 볼륨 및 복잡성을 처리할 수 있기 때문에 지적 한다. Safai 씨엠립 공급 업체와 통신은, 비록 그들은 일치 기능을 제공할 수 없습니다: 신속 하 게 데이터 집합, 특정 시간 또는 장치를 볼, 이벤트를 정확 하 게 이동한 다음 반환, 동향 또는 이와 유사한 사건에 대 한 보고를 시작 지점으로이 이벤트를 사용 하 여.

Safai 말했다: "그것은이 기능과 우리의 선택 결정 하는 속도." 우리의 심 할 수 없습니다; 그리고 느린, 그것은 24 시간, 및 Splunk 단지 2 분 정도 걸립니다. "그것은 작품, 생각 하는 tosheff 방식으로 엔지니어와 밀접 하 게" Splunk를 말한다. 유연한 도구입니다. 시 엠은 아직 모든 잠재적인 데이터 소스를 덮어쓸 수 없습니다. "당신은 환경에 적응 하는 도구를 구축 하기 위해 최선을 다하고 있다" 고 말했다. 그건 돈으로 직접 이러한 도구를 구입할 수 있습니다. "

더 많은 데이터 재능에 대 한 긴급 한 필요

그러나, 심지어 비즈니스 도구 및 사용자 지정 규칙 집합의 최고의 조합, 팀 구성원 아직도 믿는 이러한 예외와 기계 수 없습니다 발견 항상 공격 분석 잘 훈련 되 고 재능 있는 데이터 분석가 위한 필요는.

그리고 천재 데이터 분석가 크림 수 있습니다. 한 회의에서 데이터 전문가 지금 IT 업계에서 가장 수요가 많은 직종은 지적 했다. Safai 대학-훈련 된 학생 들의 데이터를 분석 하 고 어떤 실제적인 일 경험을 주고 선택 어느 정도 문제를 완화 수 있습니다 말했다.

"내 경험에서 찾을 수 있습니다 재능 있는 데이터 분석가 엔지니어링 커뮤니티에" 돈을 말한다. 그는 그의 회사는 다양 한 위치에 일부 IT 직원을 할당 그들에 게 데이터 분석 도구에 참여 하는 기회를 제공 고 다음 여행 다양 한 산업 회의 대 한 그들을 보상 지적 한다.

"만약 당신이 18 세, 그들 떨어져 X 박스 게임 컨트롤러 걸리고이 유망한 분야를 입력 하는 법을 배워야 그들에 게 말해,"이 고 말했다. "이 최고의 데이터 분석을 위한 재능의 업계의 부족을 반영 수 있습니다.

(책임 편집기: Fumingli)