大數(shù)據(jù)動了信息安全哪根神經(jīng)

郭濤

以前，企業(yè)處在被動防御階段，安全工作的重點集中在邊界，想盡辦法不讓黑客攻進來。但是現(xiàn)在，由于大數(shù)據(jù)分析工具的運用，主動防御成為可能。在大數(shù)據(jù)時代，企業(yè)將掌握網(wǎng)絡(luò)安全的主動權(quán)。

人們熟知的平安城市項目中涉及大量攝像頭的部署。一個小家庭的安全防護可以靠門、窗、鎖，但是一個空間開放的城市的防護可能就要依靠更多的攝像頭。這一點與網(wǎng)絡(luò)安全的演進有些類似。以前，企業(yè)主要依靠防火墻、漏洞掃描、殺毒軟件等安全設(shè)備，保護的是相對封閉的、有明確界限的企業(yè)內(nèi)部環(huán)境。但是隨著云計算、互聯(lián)網(wǎng)的興起，企業(yè)的邊界、安全的邊界正逐漸變得模糊。保護企業(yè)的安全，那些“門、窗、鎖”是必需的，但是如果增添了“攝像頭”，企業(yè)的安全是不是更有保障？

企業(yè)在已經(jīng)建立了一個基本的安全防御體系，部署了各類安全的軟硬件之后，還應(yīng)該進一步建立一個全面、立體、主動的監(jiān)控體系。大數(shù)據(jù)安全就像是“攝像頭+中控”，是這個立體的監(jiān)控體系的重要組成部分。“大數(shù)據(jù)安全對于傳統(tǒng)的安全防御市場來說是一種顛覆。不過，大數(shù)據(jù)安全對于傳統(tǒng)的安全體系來說不是替代，而是必要的補充，是從一個新的角度來審視安全防御?！盚anSight瀚思CEO高瀚昭表示。

企業(yè)掌握安全的主動權(quán)

阿里巴巴集團首席風(fēng)險官劉振飛表示：“在DT（Data Technology）時代，傳統(tǒng)安全機制頹勢盡顯。傳統(tǒng)的企業(yè)安全重在建設(shè)封閉可控的環(huán)境，而互聯(lián)網(wǎng)業(yè)務(wù)最大的特點在于沒有邊界、海量用戶、設(shè)備不可控。在古代戰(zhàn)場上，可以用城墻來防御敵人，但是今天，必須建立立體的防控體系才能保障城市的安全?！?/p>

在“斯諾登”事件曝光后，人們意識到全面的監(jiān)控是必需的。但是以前由于技術(shù)手段的限制，人們無法對海量的數(shù)據(jù)進行及時有效的分析。現(xiàn)在，隨著云計算、大數(shù)據(jù)、機器學(xué)習(xí)等技術(shù)的興起，對海量數(shù)據(jù)進行實時分析成為可能。大數(shù)據(jù)直接帶動了網(wǎng)絡(luò)安全的變革。

最堅固的堡壘往往是從內(nèi)部被攻破的。因此，對所有發(fā)生在企業(yè)內(nèi)部的用戶行為進行監(jiān)控和分析，是主動防御不可缺少的一環(huán)。對于用傳統(tǒng)安全手段無法發(fā)現(xiàn)和探知的問題，大數(shù)據(jù)安全可以通過最嚴密的分析定位問題所在。

現(xiàn)在，銀行都在做數(shù)據(jù)大集中，通常情況下銀行一天的網(wǎng)銀日志數(shù)據(jù)量就達數(shù)TB，而這么龐大的數(shù)據(jù)以前從來沒有得到過有效分析。現(xiàn)在有了趁手的大數(shù)據(jù)分析工具，銀行非常積極地利用這些日志數(shù)據(jù)進行業(yè)務(wù)分析、運維分析和安全分析?！跋胥y行、電力、運營商、公安等行業(yè)的客戶，在其業(yè)務(wù)發(fā)展到一定規(guī)模后，深知安全性對其業(yè)務(wù)發(fā)展的重要性，所以對大數(shù)據(jù)安全有強烈的需求?！备咤逊治稣f，“而一些互聯(lián)網(wǎng)企業(yè)目前將主要精力放在迅速擴展業(yè)務(wù)上，而且沒有遇到對業(yè)務(wù)產(chǎn)生嚴重影響的安全威脅和事故，所以對安全系統(tǒng)的建設(shè)關(guān)注不夠?！?/p>

以前，企業(yè)處在被動防御階段，安全工作的重點集中在邊界，想盡辦法不讓黑客攻進來。但是現(xiàn)在，由于大數(shù)據(jù)分析工具的運用，主動防御成為可能，企業(yè)可以利用全面、深入且及時的數(shù)據(jù)分析，發(fā)現(xiàn)過去不曾被發(fā)現(xiàn)的安全漏洞或威脅，甚至可以找出安全攻擊的路徑，提前做出預(yù)警或準(zhǔn)備。在大數(shù)據(jù)時代，企業(yè)將掌握網(wǎng)絡(luò)安全的主動權(quán)。

大數(shù)據(jù)安全拼的是什么？

有了大數(shù)據(jù)這個重要抓手，網(wǎng)絡(luò)安全可以從以前的被動防御轉(zhuǎn)為現(xiàn)在的主動防御。以銀行為例，在對待安全這個問題上，它們早就拋棄了“頭痛醫(yī)頭，腳痛醫(yī)腳”的陋習(xí)，而是在做好基本安全防御（包括建立健全安全規(guī)范和流程）的基礎(chǔ)上，主動采用大數(shù)據(jù)安全手段，建立主動防御體系。客戶不再單純依賴安全廠商，而是借助大數(shù)據(jù)安全工具，主動尋找自己的安全短板，將更多精力放在安全預(yù)測、主動防御上。“國內(nèi)的一些大型銀行、運營商都在積極實施主動防御?！备咤呀榻B說。

在現(xiàn)實世界中，80%～90%的數(shù)據(jù)都可能與安全相關(guān)，所以要盡可能對所有數(shù)據(jù)源的數(shù)據(jù)進行收集、分析。以前，人們認為安全威脅都來自外部，所以只要守住企業(yè)與外界之間的那道“墻”，就可以保護企業(yè)內(nèi)部的安全。其實，研究發(fā)現(xiàn)，企業(yè)內(nèi)部的數(shù)據(jù)庫也并不安全，可能在用戶不知情的情況下已經(jīng)被黑客侵入。如果用戶不了解這些新的變化，那么安全防御也就無從談起。

“與其說是大數(shù)據(jù)促成了安全從被動防御到主動防御的轉(zhuǎn)變，不如說是機器學(xué)習(xí)促進了這種轉(zhuǎn)變的發(fā)生?！备咤驯硎尽鹘y(tǒng)的安全處理方式是有限的，通常經(jīng)過告警、匯總、分類、排序等環(huán)節(jié)，由人工參與安全信息的處理，最后梳理出的有效的信息可能也就幾十條?，F(xiàn)在，安全分析要處理的數(shù)據(jù)是海量的，就像是大海撈針，如果再依靠人工是不可想象的，而必須依靠機器學(xué)習(xí)，進行深入的行為分析和模式匹配，找到安全漏洞。

賽門鐵克公司也認為，機器學(xué)習(xí)的能力將是未來安全廠商的核心競爭力。“機器學(xué)習(xí)的能力將成為衡量一個大數(shù)據(jù)安全廠商是否優(yōu)秀的重要標(biāo)準(zhǔn)?！备咤呀榻B說，這涉及兩方面的內(nèi)容：一是算法的先進性，看哪個廠商能夠更精準(zhǔn)地找到安全漏洞；第二，威脅情報庫是否完備。HanSight瀚思持續(xù)不斷地優(yōu)化其機器學(xué)習(xí)算法的性能，實現(xiàn)實時的分析，1～2秒鐘即可得到結(jié)果，而以前的分析時間是分鐘級甚至小時級別。另外，機器學(xué)習(xí)還必須在真實的應(yīng)用環(huán)境中，建立符合用戶行為基準(zhǔn)的模型，這樣才能保證分析結(jié)果的正確性。

機器學(xué)習(xí)系統(tǒng)的一個難點是，系統(tǒng)不容易調(diào)整，通常只有專家才能掌握，實施起來比較困難。機器學(xué)習(xí)系統(tǒng)是一個參數(shù)敏感的系統(tǒng)，參數(shù)的微小調(diào)整都會讓結(jié)果千差萬別，因此以前大多只用于科研，而只有參數(shù)不敏感、可以自適應(yīng)的機器學(xué)習(xí)系統(tǒng)才是適合商用的。除了不斷提升機器學(xué)習(xí)系統(tǒng)的性能以外，HanSight瀚思的另一項工作是實現(xiàn)機器學(xué)習(xí)系統(tǒng)的數(shù)據(jù)可視化。通常情況下，機器學(xué)習(xí)系統(tǒng)得出的結(jié)果是一串?dāng)?shù)字，普通用戶很難理解它所代表的意思，因此就需要廠商運用圖計算、圖數(shù)據(jù)庫，并結(jié)合拓撲結(jié)構(gòu)，將數(shù)字轉(zhuǎn)化為直觀的圖形呈現(xiàn)給用戶，比如用一個點的大小來表示安全問題是否嚴重。

大數(shù)據(jù)安全的門檻高在哪？

“數(shù)據(jù)驅(qū)動安全”這一思想已被越來越多的廠商和用戶所接納。大數(shù)據(jù)與安全碰撞出的火花對安全市場未來的發(fā)展將起到非常重要的作用。一些傳統(tǒng)的安全廠商已經(jīng)在積極轉(zhuǎn)型。但是船大難掉頭，限于公司原有的架構(gòu)、機制等方面的原因，傳統(tǒng)安全廠商很難在短時間內(nèi)在大數(shù)據(jù)安全方面有巨大的突破。像HanSight瀚思這樣的大數(shù)據(jù)安全分析領(lǐng)域的創(chuàng)業(yè)公司則起到了帶頭和引導(dǎo)的作用。

“在中國，大數(shù)據(jù)安全領(lǐng)域的創(chuàng)業(yè)公司還比較少，其難點在于，企業(yè)必須建立安全信息管理中心，接入各種數(shù)據(jù)源，提供涵蓋前后端的全面支持，工作量非常大。傳統(tǒng)安全廠商只要解決一個點的安全問題，而大數(shù)據(jù)安全要解決一個面的問題，要對所有相關(guān)信息進行收集和分析?！备咤岩郧霸谝患野踩矩撠?zé)全球病毒自動分析工作，所以才能攬下大數(shù)據(jù)安全這一瓷器活兒。

大數(shù)據(jù)安全的門檻高在哪？全球第一家上市的大數(shù)據(jù)公司Splunk公司是大數(shù)據(jù)安全領(lǐng)域的佼佼者。不過，它也是經(jīng)過了六七年的研發(fā)、醞釀之后，才將其大數(shù)據(jù)安全產(chǎn)品市場化。成立只有兩年的HanSight瀚思已經(jīng)可以交付成熟的企業(yè)級大數(shù)據(jù)安全平臺。

Splunk銷售的是大數(shù)據(jù)安全工具，需要客戶在此基礎(chǔ)上做大量的二次開發(fā)，因此對客戶的專業(yè)技能有一定要求，實施起來相對復(fù)雜。另外，作為一個國外廠商，Splunk的本地化支持力度也有待加強?！爸袊蛻魞A向于采購‘交鑰匙的解決方案，希望廠商不僅能夠幫助它們發(fā)現(xiàn)安全問題，最好還能一并解決問題。HanSight瀚思能夠滿足中國用戶的特殊需求?！备咤驯硎荆霸诖髷?shù)據(jù)安全領(lǐng)域，中外廠商基本處于同一起跑線。我們的產(chǎn)品在分析、展現(xiàn)和模型的建立上并不遜于國外的產(chǎn)品。在國內(nèi)，我們已經(jīng)有了許多大中型的企業(yè)客戶?！?/p>

在中國，HanSight瀚思有三個業(yè)務(wù)基地：成都主要負責(zé)SOC（安全運營中心）的建立，以及算法的研究；北京負責(zé)企業(yè)版大數(shù)據(jù)安全產(chǎn)品的交付；南京的重點放在SaaS服務(wù)的交付。高瀚昭介紹說：“我們的SaaS安全產(chǎn)品正在研發(fā)中，計劃于3月發(fā)布。實施SaaS的前提是要將用戶場景最小化，支持標(biāo)準(zhǔn)化的硬件，包括常用的交換機、防火墻等。SaaS安全服務(wù)的興起可以讓大量互聯(lián)網(wǎng)企業(yè)受益。在互聯(lián)網(wǎng)平臺上，數(shù)據(jù)可以充分共享，在此基礎(chǔ)上，通過建立一個虛擬化SOC，可以提供安全評估服務(wù)、安全監(jiān)控服務(wù)、安全運維服務(wù)等，還可以建立一個全面的安全威脅情報庫。將互聯(lián)網(wǎng)上的海量信息匯總、分析后，可以為互聯(lián)網(wǎng)用戶提供安全預(yù)警?！?/p>