以大數(shù)據(jù)為中心的安全系統(tǒng)是否已成過去式？根據(jù)2013 RSA大會上的一個安全專業(yè)會議，許多未使用安全性大數(shù)據(jù)收集系統(tǒng)去發(fā)現(xiàn)攻擊行為的組織可能已經(jīng)處于落后位置。

在一次圍繞使用大數(shù)據(jù)實現(xiàn)更優(yōu)安全監(jiān)控的討論中，小組成員討論了分析大量網(wǎng)絡(luò)安全事件的重要性。紐約投資銀行的CISO Ramin Safai指出，他的公司每秒會有5,000次網(wǎng)絡(luò)事件，每天會從中捕捉25 TB數(shù)據(jù)；他的三人網(wǎng)絡(luò)分析團(tuán)隊通常會注意其中50個問題，其中兩人驗證它們是否合法。

而在行業(yè)的最高領(lǐng)域，eBay的X.commerce部門信息安全官Alex Tosheff指出，他的組織在內(nèi)部每秒會發(fā)現(xiàn)10,000個事件，每天會記錄近1 PB的事件數(shù)據(jù)，這還不包括他所支持的外部“生產(chǎn)”環(huán)境，即eBay.com、StubHub.com等。

所以，為了尋找重要的安全事件，許多組織部署了一些系統(tǒng)，專門用于捕捉最重要的數(shù)據(jù)——來自網(wǎng)絡(luò)、終端、數(shù)據(jù)庫、應(yīng)用和身份與訪問管理系統(tǒng)的數(shù)據(jù)，但是這只是最簡單的部分。發(fā)現(xiàn)那些極少數(shù)預(yù)示潛在攻擊的事件才是最困難的工作。

Overstock.com技術(shù)副總裁Carter Lee說：“重要的是，您的分析引擎需要與所有最佳組合技術(shù)協(xié)作。”他指出，開放系統(tǒng)通常優(yōu)于大型供應(yīng)商產(chǎn)品，因為大廠商需要長期鎖定用戶，而且不經(jīng)常為新威脅升級新補(bǔ)丁。

Tosheff指出，他的組織已經(jīng)堅持這種模式5年時間了，而他們組合使用一些非市場銷售和自行開發(fā)的工具，這些工具使用自定義的規(guī)則集，專門用于查找數(shù)據(jù)泄漏事件。我們盡量與時俱進(jìn)。這是技術(shù)競賽，過程很有難度，但這是我們一定要做的事情。

大數(shù)據(jù)2.0：使用數(shù)據(jù)發(fā)現(xiàn)攻擊行為

但小組成員指出，只是發(fā)現(xiàn)惡意事件還不夠。伯明翰咨詢公司IT-Harvest的Moderator Richard Stiennon指出，他在去年與大型防御供應(yīng)商合作時首次認(rèn)識到這一點。他注意到一個趨勢，他們用大數(shù)據(jù)發(fā)現(xiàn)和關(guān)聯(lián)一些重要攻擊指標(biāo)，并將它們按行為進(jìn)行分類——由已知威脅發(fā)起人發(fā)起的有規(guī)律的、多向攻擊。

Tosheff指出，他公司的電子犯罪檢測小組也具有類似的職責(zé)，它將自己的內(nèi)部情報與外部信息源組合，從中發(fā)現(xiàn)各種惡意攻擊者，包括欺騙、黑客或數(shù)據(jù)盜竊。然后，重要結(jié)論會被記錄到一個通用詞典中，并且通過一些機(jī)制（如金融服務(wù)信息共享與分析中心(FS-ISAC)）快速共享到各個行業(yè)組中。

Datashield咨詢的CISO Praveen Money說：“跟蹤攻擊行為非常重要。如果不這樣做，那么趕緊開始。這些組合功能可以幫助您檢測和防御下一次攻擊。通過將事件進(jìn)行關(guān)聯(lián)和發(fā)現(xiàn)通用屬性，企業(yè)就可以發(fā)現(xiàn)攻擊者的身份及其后續(xù)行為，從而縮短將來檢測與響應(yīng)的時間。重要指標(biāo)本身并沒有太多含義，但是如果將它們關(guān)聯(lián)在一起，您就可以發(fā)現(xiàn)一些不良情況。將它們關(guān)聯(lián)后歸納為一個攻擊行為，響應(yīng)就可以取得突破性進(jìn)展。”

Splunk比SIEM系統(tǒng)更受歡迎

有意思的是，幾乎所有小組成員都表示，他們都使用成熟的數(shù)據(jù)包捕捉與分析工具 Splunk作為他們主要的數(shù)據(jù)分析工具，而不使用昂貴的商業(yè)安全信息與事件管理(SIEM)產(chǎn)品。

Safai指出，即使他的組織將各種日志保存到一個SIEM中，這些數(shù)據(jù)也會再保存到Splunk中，因為沒有其他工具能夠處理這樣大的數(shù)據(jù)容量與復(fù)雜性。雖然Safai曾經(jīng)與SIEM供應(yīng)商溝通過，但是他們都不能夠提供與之匹配的功能：快速定位到數(shù)據(jù)集，查看特定的時間或設(shè)備，精確查找某個事件，然后再返回，用這個事件作為起點，尋找一些趨勢或類似的事件。

Safai說：“正是這個功能及其速度決定了我們的選擇。我們的SIEM做不到這一點；它很慢，需要24個小時，而Splunk只要2分鐘。”Tosheff評價Splunk說：“它與工程師想象的工作方式緊密吻合。它是一個靈活的工具。一個SIEM還無法覆蓋所有潛在的數(shù)據(jù)來源。他說：“您必須努力建立適應(yīng)您自己環(huán)境的工具。您是不可能直接用錢買到這樣的工具。”

迫切需要更多的數(shù)據(jù)人才

但是，即使有最佳組合的商業(yè)工具與自定義規(guī)則集，小組成員仍然認(rèn)為，還需要有訓(xùn)練有素的天才數(shù)據(jù)分析人員才能分析這些異常現(xiàn)象和機(jī)器無法總能發(fā)現(xiàn)的攻擊行為。

而天才數(shù)據(jù)分析人員可能百里挑一。有一位成員在會議上指出，數(shù)據(jù)科學(xué)家是現(xiàn)在IT行業(yè)中最吃香的職業(yè)。Safai說，由大學(xué)合作培養(yǎng)的學(xué)生負(fù)責(zé)分析數(shù)據(jù)，放棄一些實際工作經(jīng)驗，可以在一定程度上緩解這個問題。

Money說：“從我的經(jīng)驗看，您可以在工程社區(qū)發(fā)現(xiàn)一些天才數(shù)據(jù)分析人員。”他指出，他的公司將一些IT人員指派到各種不同的職位上，讓他們有機(jī)會參與數(shù)據(jù)分析工具，然后為他們提供各種行業(yè)會議的差旅費(fèi)作為獎勵。

Lee說：“如果您認(rèn)識18歲的孩子，那么把X-Box游戲機(jī)控制器從他們手中拿走，然后告訴他們好好學(xué)習(xí)進(jìn)入這個前途無量的領(lǐng)域。”這可能最能夠反映整個行業(yè)對數(shù)據(jù)分析天才的缺乏。