大資料安全分析：學習Facebook的ThreatData框架

　　自成立以來，HTTP://www.aliyun.com/zixun/aggregation/1560.html">Facebook一直是網路攻擊的目標。 他們積極抵禦惡意軟體和防止欺詐，並且他們在這方面的努力經常見諸報端。 然而，可以很公平地說，Facebook面臨的實際威脅更加嚴峻。

　　當面對威脅時，知識就是力量。 很多企業都認識到威脅分析和安全分析的重要性，它們不僅可以説明阻止當前威脅，還可以提高事件回應。 最近，Facebook宣佈通過其ThreatData框架進軍大資料安全分析領域。

　　在本文中，我們將討論什麼是ThreatData框架，它是如何工作的以及為什麼企業應該知道它的存在，還有資訊安全專業人員可以從中學到什麼來更好地管理企業面臨的威脅。

ThreatData框架內部

　　對於ThreatData，Facebook聲稱它能夠快速收集、處理和分析大量資料，以及時對出現的威脅作出反應。

　　這個大資料安全分析框架包括三個主要部分：

　　資料收集：這是從Facebook內部和外部的各種來源收集的各種格式的資料(被稱為ThreatDatum)，這些來源包括VirusTotal、 Web瀏覽器延伸和專門從事這種資料收集的安全供應商。

　　資料存儲：這些是存儲資料和提取威脅情報的庫，被稱為「Hive」或者「Scuba」。

　　 即時回應：這是Facebook對威脅的回應，其中包括URL阻止和安全資訊及事件管理(SIEM)集成。

　　從本質上講，ThreatData對互聯網正在發生的惡意活動提供了更全面和更大的可視性。 這些發現和檢測功能正是大多數企業的資訊安全計畫中缺乏的功能。 與SIEM的優勢類似，這種詳細程度允許資訊安全專業人員能夠看到更大的視圖，而不是更為典型的對產品或功能孤島的安全管理。

ThreatData框架對一般企業意味著什麼

　　那麼，為什麼這會有用呢，特別是對於與Facebook不怎麼相關的企業?

　　ThreatData框架是創新框架類型的模型，高風險企業正在部署這種框架來解決已知和新出現的安全威脅，並且，這可能為一般企業提供很多經驗教訓。

　　雖然大多數企業沒有Facebook那樣的安全資源，但該框架的很多威脅情報「功能」並不需要大量資源，企業可以利用最新釣魚網站上的資訊、互聯網中的惡意軟體以及應對這些威脅的相關趨勢。

　　另外，企業可以外包部分(如果不是全部)這些功能到很多協力廠商供應商(例如Dell SecureWorks和Alert Logic)，包括對企圖攻擊、已知網路惡意軟體感染以及需要注意的行為和簽名發出警報， 包括即時修復Web應用防火牆等技術。

　　在很多企業，特別是中小企業，負責安全的人員通常不知道在特定時間事物所處的位置。 即使企業選擇外包這些服務，他們通常沒有足夠的人力或者利基安全專業技術來及時合理地管理這些威脅，更不用說回應威脅。 但是，企業仍然有機會來獲得對企業環境的控制權