第一次世界大戰中的凡爾登戰役,二戰時期的史達林格勒大會戰,這些如雷貫日的戰役都是當時歷史上的轉折戰役,此戰後攻防的平衡由此打破,戰場發生了翻天變化。對於資訊保安的歷史,就是在攻與防的螺旋式鬥爭中前進,時至今日,在這場戰役中,黑客由於手握apt重器而暫時佔優,也由此製造了乙個個黑煙四起的黑道世界。
隨著大資料技術的發展和成熟,將這些技術應用到安全領域的大資料安全分析,會成為apt攻防戰役中的轉折點嗎?
企業被「 入侵」100%不可避免,只是時間早晚的問題
被「入侵」是指黑客通過各種途徑潛伏進入到企業。apt攻擊入侵之所以不可避免,除apt所用的超能**外,還有重要的外在原因。其一是一種「對手不對稱」的對抗,apt入侵初期只是為了控制乙個跳板,因此入侵的攻防實際是乙個超級黑客組織和乙個安全意識不佳的普通員工之間的對抗,乙個稍顯專業的釣魚**就讓員工淪陷,而傳統的邊界安全裝置採用以漏洞為中心的被動防禦體系,在防範未知威脅上無能為力,這必然造就對抗的後果是黑方100%能勝利,所以企業被入侵也就是自然而然的事情。另外乙個原因是byod的普及以及萬物互聯的物聯網(ioe)的發展,企業的終端控制權將逐漸喪失,大量屬於企業和非屬於企業的移動裝置隨時隨地的接入網路,控制權的消失,標誌安全控制權的消失,跳板的可選擇性也越來越大。總而言之,企業被入侵,那是板上釘釘的事情,只不過是有的企業發現了,有的企業還蒙在鼓裡自娛自樂的yy著自己的安全。
既然入侵依然遲早不可避免,那麼入侵後的內網攻防則必定會成為攻防戰役的主戰場。
apt「入侵」到「破壞」還有很長時間窗
如果將資料外發或者造成企業系統不可用看做是apt攻擊的破壞結果,那麼對於apt攻擊而言,從入侵到破壞還有很長的路要黑。入侵僅僅只是大幕開啟,跳板只是跳板,為了達到攻擊的目標,apt攻擊鏈的大部分活動都是在企業的網路內部完成,包括跳板的控制,企業內部橫向滲透,重要資產資料的控制和轉移,資料外發、攻擊痕跡的擦除等,其中從入侵跳板到資料外發之間的過程,就是入侵到破壞之間的時間窗,在這個時間窗中,apt有大量的內部活動,以及外部互聯的活動,在這個時間窗裡的檢測與反檢測才是apt攻防最核心的鬥智鬥勇。
apt攻擊在內網的活動都被隱藏在內網正常的行為中,要想從中找出蛛絲馬跡遠非尋常方法可以達到。網路從千兆邁向萬兆,需要分析的資料急劇上公升,網路速度越來越快,也意味找包處理和**速度越來越快,網路中的事件傳送速率也隨之激增。同時,為了增強檢測的準確性和快速性,除對網路傳輸的各種資料報進行檢測外,還需要收集網路內部的資訊,以及外部的資訊,也就是所謂的擴大情景感知的範圍以及增加威脅情報的分析,所以這些要求,都極大的增加了在這個時間窗中有效檢測的難度,傳統的各種分析工具如siem都是這場戰役的戰敗者。
華為大資料安全分析,apt攻防戰役中的轉折點
時勢造英雄,隨大資料技術的發展,包括資料從採集、儲存到分析處理技術的成熟,機器自學習和人工智慧的發展,大資料分析平台可以從海量的資料中找到apt攻擊的蛛絲馬跡。
華為cis安全分析平台,採用大資料基礎平台,充分利用了大資料在面對海量資訊的高效處理的能力,如hadoop分布式資料庫、實時流處理技術、spark等最新的技術,依託機器學習的智慧型,使得海量流量的挖掘和處理成為現實。cis從時間和空間兩個維度上擴大了流量收集範圍,通過採集全網的流量、日誌、檔案等資料,尤其是關鍵路徑的流量,以及終端的各種流量等,這些實時和離線的流量形成檢測apt攻擊的資料基礎。在cis大資料平台中,內建有豐富的異常檢測模型,如web異常、dns異常等等,這些模型可以對apt攻擊鏈中的350+以上的異常行為進行檢測。通過這些異常模型,可以從海量的流量中有效的檢測非常輕微異常行為,而這些輕微的異常行為很大可能是apt攻擊在某個環節的具體表現,正是由於可以檢測出大量極易被忽視的這些輕微異常,cis大資料安全分析實現了大海撈針,從蛛絲馬跡中抽絲剝繭,這些細微異常線索通過多維度威脅關聯分析,從而有效的將眾多雜亂無章的異常有機的串聯在一起,以點帶線,以線成面,形成了具體的apt攻擊鏈模,勾畫出完整的攻擊鏈,沿攻擊鏈進行多維度的分析,最後準確定位apt高階攻擊,真正實現了從漏洞為中心的傳統安全體系發展到以威脅為中心,以攻擊鏈為線索,依靠資料驅動的apt檢測與攔截安全體系,為apt防護開創了新的局面,幫助企業有效的實現對apt威脅的管理,讓企業成為apt攻防戰役中的勝利者。
原文發布時間為:2023年08月24日
大資料安全分析常見問題彙總
大資料是時下最火熱的it行業的詞彙,隨之資料倉儲 資料安全 資料分析 資料探勘等等圍繞大數量的商業價值的利用逐漸成為行業人士爭相追捧的利潤焦點。本人在與使用者溝通大資料問題時經常會遇到一些問題,現將這些常見問題彙總,拋磚引玉,希望可以幫助到大家。1.大資料安全分析的核心目標是什麼?應答 為了能夠找到...
大資料安全分析平台評估五要素
在考核大資料安全分析平台時,要確保對以下五個要素進行評估,這對實現大資料分析的效果非常關鍵。這對於快速收集隨時產生的海量資料 快速進行資料分析,確保安全人員高效響應非常重要。大資料安全分析平台評估五要素。要素1 統一的資料管理平台 統一的資料管理平台是大資料分析系統的基礎。資料管理平台儲存和查詢企業...
大資料安全分析的階段性建設
大資料安全分析的階段性建設,基於大資料的安全分析在國內已經火了一段時間,不同行業都在這方面有不少的投入,自建的大資料安全平台專案也屢見不鮮。具體有多少會如gartner的分析師anton chuvakin認為的那樣,大概率歸於失敗 why your security data lake projec...