現(xiàn)在，很多行業(yè)都已經(jīng)開始利用大數(shù)據(jù)來提高銷售，降低成本，精準營銷等等。然而，其實大數(shù)據(jù)在網(wǎng)絡安全與信息安全方面也有很長足的應用。特別是利用大數(shù)據(jù)來甄別和發(fā)現(xiàn)風險和漏洞。

[[116762]]

通過大數(shù)據(jù)，人們可以分析大量的潛在安全事件，找出它們之間的聯(lián)系從而勾勒出一個完整的安全威脅。通過大數(shù)據(jù)，分散的數(shù)據(jù)可以被整合起來，使得安全人員能夠采用更加主動的安全防御手段。

今天，網(wǎng)絡環(huán)境極為復雜，APT攻擊以及其他一些網(wǎng)絡攻擊可以通過對從不同數(shù)據(jù)源的數(shù)據(jù)的搜索和分析來對安全威脅加以甄別，要做到這一點，就需要對一系列數(shù)據(jù)源的進行監(jiān)控，包括DNS數(shù)據(jù)，命令與控制(C2)，黑白名單等。從而能夠把這些數(shù)據(jù)進行關(guān)聯(lián)來進行發(fā)囧。

企業(yè)針對安全的大數(shù)據(jù)分析下面是一些要點：

DNS數(shù)據(jù)

DNS數(shù)據(jù)能夠提供一系列新注冊域名，經(jīng)常用來進行垃圾信息發(fā)送的域名，以及新創(chuàng)建的域名等等，所有這些信息都可以和黑白名單結(jié)合起來，所有這些數(shù)據(jù)都應該收集起來做進一步分析。

如果自有DNS服務器，就能過檢查那些對外的域名查詢，這樣可能發(fā)現(xiàn)一些無法解析的域名。這種情況就可能意味著你檢測到了一個“域名生成算法”。這樣的信息就能夠讓安全團隊對公司網(wǎng)絡進行保護。而且如果對局域網(wǎng)流量數(shù)據(jù)日志進行分析的話，就有可能找到對應的受到攻擊的機器。

命令與控制(C2)系統(tǒng)

把命令與控制數(shù)據(jù)結(jié)合進來可以得到一個IP地址和域名的黑名單。對于公司網(wǎng)絡來說，網(wǎng)絡流量絕對不應該流向那些已知的命令與控制系統(tǒng)。如果網(wǎng)絡安全人員要仔細調(diào)查網(wǎng)絡攻擊的話，可以把來自C2系統(tǒng)的流量引導到公司設好的“蜜罐”機器上去。

安全威脅情報

有一些類似與網(wǎng)絡信譽的數(shù)據(jù)源可以用來判定一個地址是否是安全的。有些數(shù)據(jù)源提供“是”與“否”的判定，有的還提供一些關(guān)于威脅等級的信息。網(wǎng)絡安全人員能夠根據(jù)他們能夠接受的風險大小來決定某個地址是否應該訪問。

網(wǎng)絡流量日志

有很多廠商都提供記錄網(wǎng)絡流量日志的工具。在利用流量日志來分析安全威脅的時候，人們很容易被淹沒在大量的“噪音”數(shù)據(jù)中。不過流量日志依然是安全分析的基本要求。有一些好的算法和軟件能夠幫助人們提供分析質(zhì)量。

“蜜罐”數(shù)據(jù)

“蜜罐”可以有效地檢測針對特定網(wǎng)絡的惡意軟件。此外，通過“蜜罐”獲得的惡意軟件可以通過分析獲得其特征碼，從而進一步監(jiān)控網(wǎng)絡中其他設備的感染情況。這樣的信息是非常有價值的，尤其是很多APT攻擊所采用的定制的惡意代碼往往無法被常規(guī)防病毒軟件所發(fā)現(xiàn)。參見本站文章企業(yè)設置“蜜罐”的五大理由

數(shù)據(jù)質(zhì)量很重要

最后，企業(yè)要注意數(shù)據(jù)的質(zhì)量。市場上有很多數(shù)據(jù)可用，在安全人員進行大數(shù)據(jù)安全分析時，這些數(shù)據(jù)的質(zhì)量和準確性是一個最重要的考量。因此，企業(yè)需要有一個內(nèi)部的數(shù)據(jù)評估團隊針對數(shù)據(jù)來源提出相應的問題，如：最近的數(shù)據(jù)是什么時候添加的?有沒有樣本數(shù)據(jù)以供評估?每天能夠添加多少數(shù)據(jù)?這些數(shù)據(jù)哪些是免費的?數(shù)據(jù)總共收集了多久?等等。

安全事件和數(shù)據(jù)泄露的新聞幾乎每天都能夠出現(xiàn)在報紙上，即使企業(yè)已經(jīng)開始采取手段防御APT，傳統(tǒng)的安全防御手段對于APT之類的攻擊顯得辦法不多。而利用大數(shù)據(jù)，企業(yè)可以采取更為主動的防御措施，使得安全防御的深度和廣度都大為加強。

原文地址：http://www.aqniu.com/industry-case-study/3625.html