長期以來，駭客和安全公司就一直在矛與盾的升級中糾纏不清，從加殼到脫殼、從特征碼自動更改到云查殺、從被動防御到主動防御、到沙盒、入侵防御系統(tǒng)……安全工程師們在夜以繼日的和網(wǎng)絡(luò)威脅做斗爭。

但隨著高級駭客工具的隱秘化和完整的攻擊鏈的形成，防御的一方感到越來越吃力，單純的反病毒和IPS、IDS等，完全不能滿足需求，抵御駭客的攻擊。無法聯(lián)動的安全產(chǎn)品和各自為戰(zhàn)的防御態(tài)度，使得APT之類的入侵事件屢屢發(fā)生。

而IT廠商之間的分享的情報和協(xié)作的內(nèi)容又十分有限，防御者對于威脅的了解程度往往落后于進攻者……

單純的大數(shù)據(jù)能否解決問題

在經(jīng)過各種教訓(xùn)之后，安全專家們突然發(fā)現(xiàn)，大量數(shù)據(jù)內(nèi)容的分析為快速找到安全問題提供了更好的方式。

但是，海量數(shù)據(jù)越來越多，但并非所有數(shù)據(jù)都是我們所需要的有價值的信息，而安全從業(yè)者又需要關(guān)心這些數(shù)據(jù)的安全威脅到底來自于哪里，需要找到哪些會影響安全的數(shù)據(jù)，以相應(yīng)的工具或技術(shù)，把那些威脅數(shù)據(jù)提煉出來，并進行分析。

讓大數(shù)據(jù)為網(wǎng)絡(luò)安全提升效率

如果把大數(shù)據(jù)安全比作情報驅(qū)動型安全的話，那它必須具備更智能的來源才會效果更佳。

目前，IBM和HP等IT巨頭已經(jīng)把對大數(shù)據(jù)安全的關(guān)注演變?yōu)榘哑髽I(yè)搜索和知識管理資源與安全事件和信息管理結(jié)合起來以便檢測出網(wǎng)絡(luò)攻擊或惡意的員工操作。

在2013年的RSA大會上，EMC公司執(zhí)行副總裁兼RSA執(zhí)行主席亞瑟·科維洛作了開幕主題演講。他談到了大數(shù)據(jù)徹底改變信息安全行業(yè)、信息技術(shù)、企業(yè)和社會的方式。尤其是，基于強大的大數(shù)據(jù)分析的智能驅(qū)動型的安全戰(zhàn)略將幫助信息安全從業(yè)人員重獲警惕性和時間的優(yōu)勢，以使他們更好地檢測和防御高級網(wǎng)絡(luò)威脅。

科維洛特別提到，可供挖掘的非結(jié)構(gòu)化數(shù)據(jù)數(shù)量巨大，極其豐富多變，這為企業(yè)和社會創(chuàng)造了巨大的機會，不過同樣是這些數(shù)據(jù)，也為對手提供了新的攻擊載體。大數(shù)據(jù)應(yīng)用及存儲成為企業(yè)‘皇冠上明珠’的日子已為期不遠……

Sophos的大數(shù)據(jù)安全看法

Sophos的中國區(qū)總經(jīng)理在鐘明輝認為：要將云安全落地，就需要更多地探討大數(shù)據(jù)及大數(shù)據(jù)安全問題。大數(shù)據(jù)概念很大，既包括對大數(shù)據(jù)本身的安全保護，也包括通過對大數(shù)據(jù)的收集、整合和分析，提供更多更好的安全情報。用戶將數(shù)據(jù)上傳到云，或從云中下載數(shù)據(jù)時，都需要掃描和屏蔽惡意數(shù)據(jù)；在云中，也需要通過定時掃描，檢查和屏蔽惡意數(shù)據(jù)。

在談到大數(shù)據(jù)的分析和整合時，鐘明輝也提到了SOC（安全管理運維平臺）——這一目前在業(yè)界開始流行的概念，他表示，Sophos在這個SOC信息采集工作上做的很全面，包括在主機監(jiān)控、日志審計、病毒監(jiān)控等方面，都有著豐富的經(jīng)驗。這也是Sophos未來會在大數(shù)據(jù)安全上持續(xù)研究的一個方向。

關(guān)于Sophos

Sophos 是一個全球化的公司，總部設(shè)在英國和美國，其子公司總部設(shè)在澳大利亞、加拿大、法國、德國、意大利、日本和新加坡。

該公司為商業(yè)機構(gòu)、教育機構(gòu)和政府機構(gòu)提供防御病毒、間諜軟件和廣告等垃圾郵件的完整解決方案，使這些客戶免遭病毒和垃圾郵件的侵害。它擁有全球大大小小，來自各行各業(yè)的一億多企業(yè)用戶。

基于20年的經(jīng)驗和專業(yè)知識，Sophos可以隨時幫客戶解決其所面臨的任何威脅。其全球安全研究中心SophosLabs，從事對全球的安全隱患的調(diào)查研究，并24小時提供對任何地區(qū)任何新型病毒的預(yù)防和有效防御的分析報告。