大數(shù)據(jù)話題在安全圈子中的討論是這樣的:如果企業(yè)把自己的與安全有關(guān)的事件數(shù)據(jù)與商務(wù)信息庫結(jié)合起來�,企業(yè)就能夠分析這個大數(shù)據(jù)以便抓住設(shè)法竊取敏感信息的入侵者�����。 這個從安全角度對大數(shù)據(jù)的觀察希望企業(yè)應(yīng)用基于開源軟件Hadoop的龐大的數(shù)據(jù)庫�。這將導致在IT部門出現(xiàn)一個圍繞Hadoop的新型的“數(shù)據(jù)科學家” 的職位�����。安全專業(yè)人員和分析師現(xiàn)在也在討論大數(shù)據(jù)還將產(chǎn)生以安全為重點數(shù)據(jù)科學家�。這些數(shù)據(jù)科學家將利用工具和知識準確地找到設(shè)法竊取敏感數(shù)據(jù)的隱蔽的入侵者的攻擊��。
在復雜的網(wǎng)絡(luò)中抓住網(wǎng)絡(luò)竊賊已經(jīng)證明是很困難的����。“大數(shù)據(jù)”將提供新的希望。但是��,“大數(shù)據(jù)”能保證做到嗎? 咨詢機構(gòu)企業(yè)管理協(xié)會的分析師斯科特·克勞福德(Scott Crawford)也這樣認為��。他在舊金山舉行的RSA會議關(guān)于大數(shù)據(jù)和大數(shù)據(jù)如何幫助增強安全的分析師小組討論會上說:“統(tǒng)計分析將識別出異常情況�,但是,統(tǒng)計分析不理解安全�����。” 克勞福德預計最終將出現(xiàn)一個大數(shù)據(jù)的“安全算法市場”�。他指出,Red Lambda和Palantir等公司目前正在解決這個問題��。它們利用大量的算術(shù)分析以發(fā)現(xiàn)異常情況���。 對于網(wǎng)絡(luò)內(nèi)部行為正常網(wǎng)絡(luò)用戶來說�����,企圖隱藏起來的惡毒的攻擊者一種異常行為����。攻擊者通常隱藏在正常用戶的后面。Gartner分析師尼爾·麥克唐納德 (Neil MacDonald)在RSA小組會上發(fā)言稱�,目前,隱蔽的攻擊者正在通過傳統(tǒng)的防御措施���,如入侵防御系統(tǒng)�����、防火墻和殺毒軟件。 麥克唐納德稱����,這些滲透和竊取高度敏感數(shù)據(jù)的災(zāi)難性的攻擊有時候稱作“高級的持續(xù)威脅”(APT)。這種攻擊是能夠把自己的惡意行為有效地隱藏在網(wǎng)絡(luò)中的人類演員實施的���。
我們還不知道在網(wǎng)絡(luò)中“好的”和“壞的”行為是什么樣子�����。他指出���,你必須了解“好的”行為是什么樣子以便理解“偏離好的行為”��。 分析師認為�����,大數(shù)據(jù)正在為安全分析提供新的可能性��。這意味著目前使用的安全工具�����、安全信息與事件管理以及類似的不能解決這個問題的工具必須要發(fā)展�。 麥克唐納德稱��,在某種程度上����,這種發(fā)展現(xiàn)在已經(jīng)開始了。他是指RSA的威脅檢測產(chǎn)品NetWitness和惠普的ArcSight SIM。CrowdStrike等一些創(chuàng)業(yè)企業(yè)稱�,他們將用新的方式解決APT問題。 但是��,SIEM(安全信息和事件管理)的發(fā)展能夠處理與商務(wù)有關(guān)的大數(shù)據(jù)嗎?這個整個想法是不是一個愉快的假象?這個整個想法就是把更多的商務(wù)數(shù)據(jù)添加到來自各種防火墻�、服務(wù)器、入侵防御系統(tǒng)和類似產(chǎn)品的更傳統(tǒng)的SIEM數(shù)據(jù)中以便提高更有意義的關(guān)于入侵者的情報���。
市場研究公司Forrester的分析師約翰·金德瓦格(John Kindervag)稱����,人們不能從SIEM工具中得到自己需要的答案�����。他表示將會出現(xiàn)一些新的東西�����。SIEM工具將是這些新東西的一部分����。 在參加RSA小組討論會的分析師中���,企業(yè)戰(zhàn)略集團(Enterprise Strategy Group)分析師喬恩·奧爾特辛克(Jon Oltsik)是最樂觀的����。他認為大數(shù)據(jù)是解決APT問題的答案。 奧爾特辛克發(fā)表評論稱����,我擔心的問題是我們將獲取更多的數(shù)據(jù),但是不知道用這些數(shù)據(jù)做什么��。企業(yè)中的首席信息安全官目前還沒有宣傳大數(shù)據(jù)將促進安全的想法�。他說:“當我與首席信息安全官談話并且問到有關(guān)大數(shù)據(jù)的問題時,他們只是笑一笑��。”
不過�,一些大數(shù)據(jù)安全方法的早期應(yīng)用者也表示有希望。 Zions Bancorporation公司已經(jīng)建立了一個大型數(shù)據(jù)庫�����,對實時安全和商務(wù)數(shù)據(jù)結(jié)合在一起的數(shù)據(jù)進行預防性的分析���,以便識別釣魚攻擊��,防止詐騙和阻止黑客入侵��。這個數(shù)據(jù)庫是在去年10月發(fā)布的���,是以Zettaset數(shù)據(jù)庫為基礎(chǔ)的�。這個數(shù)據(jù)庫利用Hadoop工具數(shù)據(jù)密集型的分布式應(yīng)用的分析��。該公司首席安全官普雷斯頓·伍德(Preston Wood)把這種做法解釋為增強SIM工具的一種方法并且為了安全目的分析大量的歷史的商務(wù)數(shù)據(jù)����。 包括NetIQ在內(nèi)的SIEM廠商表示,他們知道���,有關(guān)大數(shù)據(jù)和安全的議論才剛剛開始��。 NetIQ產(chǎn)品管理主管馬特·尤萊里(Matt Ulery)稱�,這是SIEM的發(fā)展方向��。他說�,這個行業(yè)正在通過集成商務(wù)智能開始重新發(fā)明SIEM技術(shù)。大數(shù)據(jù)能夠檢測到異常情況��。尤萊里指出��,該公司的Sentinel 7.0集成了更多的數(shù)據(jù)環(huán)境����。
尤萊里針對攻擊者將接管一個賬戶的事情問到:“你如何定義好的行為?因此,這個問題就是那是一位員工��,還是一個攻擊者?”隱蔽的攻擊行動最多每天會出現(xiàn)幾秒鐘��。因此����,這個目標就是區(qū)分可信賴的內(nèi)部人員和攻擊者。大數(shù)據(jù)在這方面會提供許多幫助���。 但是��,尤萊里補充說�,有許多現(xiàn)實的理由說明為什么用于安全的大數(shù)據(jù)概念將遇到許多障礙��。 一個現(xiàn)實的障礙是目前把企業(yè)數(shù)據(jù)放在云計算中的努力����。這將使傳統(tǒng)的SIEM方法更加困難。
SIEM方法一直在企業(yè)內(nèi)部網(wǎng)絡(luò)中應(yīng)用����。另一個障礙是對大數(shù)據(jù)抱希望的安全經(jīng)理們要制定數(shù)據(jù)管理戰(zhàn)略并且推薦非常高級的技術(shù)���。在還有許其它的多企業(yè)問題需要解決的時代,增加大數(shù)據(jù)問題可能是一個很難說服人的問題�。目前,在工作場所使用自己的移動設(shè)備已經(jīng)是企業(yè)的一個重大的管理問題����。
大數(shù)據(jù)話題在安全圈子中的討論是這樣的:如果企業(yè)把自己的與安全有關(guān)的事件數(shù)據(jù)與商務(wù)信息庫結(jié)合起來,企業(yè)就能夠分析這個大數(shù)據(jù)以便抓住設(shè)法竊取敏感信息的入侵者���。
這個從安全角度對大數(shù)據(jù)的觀察希望企業(yè)應(yīng)用基于開源軟件Hadoop的龐大的數(shù)據(jù)庫�����。這將導致在IT部門出現(xiàn)一個圍繞Hadoop的新型的“數(shù)據(jù)科學家”的職位��。安全專業(yè)人員和分析師現(xiàn)在也在討論大數(shù)據(jù)還將產(chǎn)生以安全為重點數(shù)據(jù)科學家�。這些數(shù)據(jù)科學家將利用工具和知識準確地找到設(shè)法竊取敏感數(shù)據(jù)的隱蔽的入侵者的攻擊����。
在復雜的網(wǎng)絡(luò)中抓住網(wǎng)絡(luò)竊賊已經(jīng)證明是很困難的。“大數(shù)據(jù)”將提供新的希望��。但是���,“大數(shù)據(jù)”能保證做到嗎?
咨詢機構(gòu)企業(yè)管理協(xié)會的分析師斯科特·克勞福德(Scott Crawford)也這樣認為��。他在舊金山舉行的RSA會議關(guān)于大數(shù)據(jù)和大數(shù)據(jù)如何幫助增強安全的分析師小組討論會上說:“統(tǒng)計分析將識別出異常情況�,但是����,統(tǒng)計分析不理解安全。”
克勞福德預計最終將出現(xiàn)一個大數(shù)據(jù)的“安全算法市場”����。他指出,Red Lambda和Palantir等公司目前正在解決這個問題����。它們利用大量的算術(shù)分析以發(fā)現(xiàn)異常情況。
對于網(wǎng)絡(luò)內(nèi)部行為正常網(wǎng)絡(luò)用戶來說����,企圖隱藏起來的惡毒的攻擊者一種異常行為。攻擊者通常隱藏在正常用戶的后面�。Gartner分析師尼爾·麥克唐納德(Neil MacDonald)在RSA小組會上發(fā)言稱,目前�,隱蔽的攻擊者正在通過傳統(tǒng)的防御措施,如入侵防御系統(tǒng)��、防火墻和殺毒軟件。
麥克唐納德稱��,這些滲透和竊取高度敏感數(shù)據(jù)的災(zāi)難性的攻擊有時候稱作“高級的持續(xù)威脅”(APT)�。這種攻擊是能夠把自己的惡意行為有效地隱藏在網(wǎng)絡(luò)中的人類演員實施的。我們還不知道在網(wǎng)絡(luò)中“好的”和“壞的”行為是什么樣子�。他指出,你必須了解“好的”行為是什么樣子以便理解“偏離好的行為”�。
分析師認為,大數(shù)據(jù)正在為安全分析提供新的可能性����。這意味著目前使用的安全工具、安全信息與事件管理以及類似的不能解決這個問題的工具必須要發(fā)展�����。
麥克唐納德稱����,在某種程度上,這種發(fā)展現(xiàn)在已經(jīng)開始了����。他是指RSA的威脅檢測產(chǎn)品NetWitness和惠普的ArcSight SIM。CrowdStrike等一些創(chuàng)業(yè)企業(yè)稱�����,他們將用新的方式解決APT問題。
但是���,SIEM(安全信息和事件管理)的發(fā)展能夠處理與商務(wù)有關(guān)的大數(shù)據(jù)嗎?這個整個想法是不是一個愉快的假象?這個整個想法就是把更多的商務(wù)數(shù)據(jù)添加到來自各種防火墻���、服務(wù)器����、入侵防御系統(tǒng)和類似產(chǎn)品的更傳統(tǒng)的SIEM數(shù)據(jù)中以便提高更有意義的關(guān)于入侵者的情報。
市場研究公司Forrester的分析師約翰·金德瓦格(John Kindervag)稱��,人們不能從SIEM工具中得到自己需要的答案��。他表示將會出現(xiàn)一些新的東西���。SIEM工具將是這些新東西的一部分���。
在參加RSA小組討論會的分析師中,企業(yè)戰(zhàn)略集團(Enterprise Strategy Group)分析師喬恩·奧爾特辛克(Jon Oltsik)是最樂觀的���。他認為大數(shù)據(jù)是解決APT問題的答案�。
奧爾特辛克發(fā)表評論稱,我擔心的問題是我們將獲取更多的數(shù)據(jù)�,但是不知道用這些數(shù)據(jù)做什么。企業(yè)中的首席信息安全官目前還沒有宣傳大數(shù)據(jù)將促進安全的想法�。他說:“當我與首席信息安全官談話并且問到有關(guān)大數(shù)據(jù)的問題時,他們只是笑一笑���。”
不過�����,一些大數(shù)據(jù)安全方法的早期應(yīng)用者也表示有希望�。
Zions Bancorporation公司已經(jīng)建立了一個大型數(shù)據(jù)庫���,對實時安全和商務(wù)數(shù)據(jù)結(jié)合在一起的數(shù)據(jù)進行預防性的分析�,以便識別釣魚攻擊��,防止詐騙和阻止黑客入侵��。這個數(shù)據(jù)庫是在去年10月發(fā)布的���,是以Zettaset數(shù)據(jù)庫為基礎(chǔ)的����。這個數(shù)據(jù)庫利用Hadoop工具數(shù)據(jù)密集型的分布式應(yīng)用的分析。該公司首席安全官普雷斯頓·伍德(Preston Wood)把這種做法解釋為增強SIM工具的一種方法并且為了安全目的分析大量的歷史的商務(wù)數(shù)據(jù)���。
包括NetIQ在內(nèi)的SIEM廠商表示����,他們知道�,有關(guān)大數(shù)據(jù)和安全的議論才剛剛開始。
NetIQ產(chǎn)品管理主管馬特·尤萊里(Matt Ulery)稱���,這是SIEM的發(fā)展方向。他說���,這個行業(yè)正在通過集成商務(wù)智能開始重新發(fā)明SIEM技術(shù)�����。大數(shù)據(jù)能夠檢測到異常情況��。尤萊里指出���,該公司的Sentinel 7.0集成了更多的數(shù)據(jù)環(huán)境。
尤萊里針對攻擊者將接管一個賬戶的事情問到:“你如何定義好的行為?因此,這個問題就是那是一位員工�,還是一個攻擊者?”隱蔽的攻擊行動最多每天會出現(xiàn)幾秒鐘。因此�,這個目標就是區(qū)分可信賴的內(nèi)部人員和攻擊者。大數(shù)據(jù)在這方面會提供許多幫助����。
但是,尤萊里補充說���,有許多現(xiàn)實的理由說明為什么用于安全的大數(shù)據(jù)概念將遇到許多障礙��。
一個現(xiàn)實的障礙是目前把企業(yè)數(shù)據(jù)放在云計算中的努力��。這將使傳統(tǒng)的SIEM方法更加困難�。SIEM方法一直在企業(yè)內(nèi)部網(wǎng)絡(luò)中應(yīng)用�����。另一個障礙是對大數(shù)據(jù)抱希望的安全經(jīng)理們要制定數(shù)據(jù)管理戰(zhàn)略并且推薦非常高級的技術(shù)�。在還有許其它的多企業(yè)問題需要解決的時代,增加大數(shù)據(jù)問題可能是一個很難說服人的問題���。目前����,在工作場所使用自己的移動設(shè)備已經(jīng)是企業(yè)的一個重大的管理問題。
