大資料2.0：CISO渴望發現攻擊行為

以大資料為中心的安全系統是否已成過去式？ 根據2013 RSA大會上的一個安全專業會議，許多未使用安全性大HTTP://www.aliyun.com/zixun/aggregation/12240.html"> 資料收集系統去發現攻擊行為的組織可能已經處於落後位置。

在一次圍繞使用大資料實現更優安全監控的討論中，小組成員討論了分析大量網路安全事件的重要性。 紐約投資銀行的CISO Ramin Safai指出，他的公司每秒會有5,000次網路事件，每天會從中捕捉25 TB資料；他的三人網路分析團隊通常會注意其中50個問題，其中兩人驗證它們是否合法。

而在行業的最高領域，eBay的X.commerce部門資訊安全官Alex Tosheff指出，他的組織在內部每秒會發現10,000個事件，每天會記錄近1 PB的事件資料，這還不包括他所支援的外部「生產」環境， 即eBay.com、StubHub.com等。

所以，為了尋找重要的安全事件，許多組織部署了一些系統，專門用於捕捉最重要的資料——來自網路、終端、資料庫、應用和身份與訪問管理系統的資料，但是這只是最簡單的部分。 發現那些極少數預示潛在攻擊的事件才是最困難的工作。

Overstock.com技術副總裁Carter Lee說：「重要的是，您的分析引擎需要與所有最佳組合技術協作。 」他指出，開放系統通常優於大型供應商產品，因為大廠商需要長期鎖定使用者，而且不經常為新威脅升級新補丁。

Tosheff指出，他的組織已經堅持這種模式5年時間了，而他們組合使用一些非市場銷售和自行開發的工具，這些工具使用自訂的規則集，專門用於查找資料洩漏事件。 我們儘量與時俱進。 這是技術競賽，過程很有難度，但這是我們一定要做的事情。

大資料2.0：使用資料發現攻擊行為

但小組成員指出，只是發現惡意事件還不夠。 伯明罕諮詢公司IT-Harvest的Moderator Richard Stiennon指出，他在去年與大型防禦供應商合作時首次認識到這一點。 他注意到一個趨勢，他們用大資料發現和關聯一些重要攻擊指標，並將它們按行為進行分類——由已知威脅贊助者發起的有規律的、多向攻擊。

Tosheff指出，他所在公司的電子犯罪檢測小組也具有類似的職責，它將自己的內部情報與外部資訊源組合，從中發現各種惡意攻擊者，包括欺騙、駭客或資料竊取。 然後，重要結論會被記錄到一個通用詞典中，並且通過一些機制（如金融服務資訊共用與分析中心(FS-ISAC)）快速共用到各個行業組中。

Datashield諮詢的CISO Praveen Money說：「跟蹤攻擊行為非常重要。 如果不這樣做，那麼趕緊開始。 這些組合功能可以説明您檢測和防禦下一次攻擊。 通過將事件進行關聯和發現通用屬性，企業就可以發現攻擊者的身份及其後續行為，從而縮短將來檢測與回應的時間。 重要指標本身並沒有太多含義，但是如果將它們關聯在一起，您就可以發現一些不良情況。 將它們關聯後歸納為一個攻擊行為，回應就可以取得突破性進展。 」

Splunk比SIEM系統更受歡迎

有意思的是，幾乎所有小組成員都表示，他們都使用成熟的資料包捕捉與分析工具 Splunk作為他們主要的資料分析工具，而不使用昂貴的商業安全資訊與事件管理(SIEM)產品。

Safai指出，即使他的組織將各種日誌保存到一個SIEM中，這些資料也會再保存到Splunk中，因為沒有其他工具能夠處理這樣大的資料容量與複雜性。 雖然Safai曾經與SIEM供應商溝通過，但是他們都不能夠提供與之匹配的功能：快速定位到資料集，查看特定的時間或設備，精確查找某個事件，然後再返回，用這個事件作為起點，尋找一些趨勢或類似的事件。

Safai說：「正是這個功能及其速度決定了我們的選擇。 我們的SIEM做不到這一點；它很慢，需要24個小時，而Splunk只要2分鐘。 」Tosheff評價Splunk說：「它與工程師想像的工作方式緊密吻合。 它是一個靈活的工具。 一個SIEM還無法覆蓋所有潛在的資料來源。 他說：「您必須努力建立適應您自己環境的工具。 您是不可能直接用錢買到這樣的工具。 」

迫切需要更多的資料人才

但是，即使有最佳組合的商業工具與自訂規則集，小組成員仍然認為，還需要有訓練有素的天才資料分析人員才能分析這些異常現象和機器無法總能發現的攻擊行為。

而天才資料分析人員可能百裡挑一。 有一位成員在會議上指出，資料人才是現在IT行業中最吃香的職業。 Safai說，選擇由大學合作培養的學生負責分析資料，放棄一些實際工作經驗，可以在一定程度上緩解這個問題。

Money說：「從我的經驗看，您可以在工程社區發現一些天才資料分析人員。 」他指出，他的公司將一些IT人員指派到各種不同的職位上，讓他們有機會參與資料分析工具，然後為他們提供各種行業會議的差旅費作為獎勵。

Lee說：「如果您認識18歲的孩子，那麼把X-Box遊戲機控制器從他們手中拿走，然後告訴他們好好學習進入這個前途無量的領域。 」這可能最能夠反映整個行業對資料分析天才的缺乏。

(責任編輯：fumingli)