[[124968]]

[[124969]]

隨著大數(shù)據(jù)的普及，各種組織和機構(gòu)的網(wǎng)絡(luò)安全正以前所未有的程度受到大量不同的威脅和風(fēng)險。前段時間索尼遭受朝鮮黑客攻擊的事情愈演愈烈，導(dǎo)致大量數(shù)據(jù)的泄露，索尼公司更是關(guān)閉了整個公司的網(wǎng)絡(luò)，讓龐大的索尼帝國回到了紙筆時代。因此，也受到了美國總統(tǒng)奧巴馬都公開譴責(zé)。不過，據(jù)Gartner報告稱：大數(shù)據(jù)分析也將在偵查犯罪和安全違法行為方面發(fā)揮重大作用。到2016年，全球超過25%的公司將為安全或欺詐檢測而部署大數(shù)據(jù)分析。通過部署只能驅(qū)動模型，大數(shù)據(jù)將成為未來改變企業(yè)的主要元素之一。

大數(shù)據(jù)如何抵御APT攻擊

據(jù)了解，一家金融企業(yè)每天會產(chǎn)生500T的數(shù)據(jù)。在海量的數(shù)據(jù)中，如何挖掘企業(yè)的安全隱患，做出預(yù)警，成為企業(yè)的當(dāng)務(wù)之急。瀚思安信聯(lián)合創(chuàng)始人高瀚昭認為在這種情況下，要做到兩點，第一是做可視化的展現(xiàn)，第二是進行Deep learning（深度學(xué)習(xí)）。

當(dāng)然,如果停留在發(fā)現(xiàn)問題的層面是遠遠不夠的，將安全隱患扼殺在搖籃之中遠比亡羊補牢更有效。傳統(tǒng)方式需要對數(shù)據(jù)庫進行清洗，把符合要求或者系統(tǒng)可以識別的數(shù)據(jù)進行存儲，其他的數(shù)據(jù)就會被清洗掉，然而這也讓價值的數(shù)據(jù)也難以保存。

潛藏在企業(yè)中的安全問題已經(jīng)轉(zhuǎn)變?yōu)榇髷?shù)據(jù)的分析問題。因此通過大數(shù)據(jù)分析可以讓企業(yè)更快速地訪問自己的數(shù)據(jù)，從而使企業(yè)能夠快速整合和關(guān)聯(lián)內(nèi)外部信息，以更清晰的視角應(yīng)對各類威脅。

瀚思創(chuàng)始人兼首席執(zhí)行官高瀚昭說：“瀚思通過‘兩步走’的方式來解決大數(shù)據(jù)時代的安全威脅。第一步是舉證，告知用戶是誰通過什么方式在什么時候?qū)ο到y(tǒng)造成多大的威脅。第二步是通過與防火墻，殺毒軟件做動態(tài)匹配，遏制即將到來的威脅。”

對監(jiān)守自盜說NO

在云時代之前，大部分的企業(yè)安全還處在殺毒軟件和防火墻的時代。他們認為購買殺毒軟件或者建起一座高墻就是安全的。事實上防火墻好比是防盜門，雖然企業(yè)裝了防盜門，抵御了外部的ATP攻擊時，殊不知一場特洛伊木馬式的破壞已經(jīng)從內(nèi)部悄然打響。

數(shù)據(jù)的價值不言而喻，相比于黑客的外部攻擊，企業(yè)內(nèi)部人員在利益驅(qū)動下的監(jiān)守自盜行為已經(jīng)屢見不鮮。然而隨著企業(yè)移動化的普及，內(nèi)部員工訪問系統(tǒng)的時間更加碎片化，這意味著數(shù)據(jù)丟失的風(fēng)險增大大。舉個例子來說，一位員工如果在白天訪問是正常的，但是晚上就是不正常的?；蛘咭粋€群組，幾次的訪問是正常的，但是過于頻繁就是反常行為。按照傳統(tǒng)的處理模式，只能一刀砍。所有人都不能訪問，這無疑會造成很多不必要的麻煩。

Gartner表示，組織機構(gòu)應(yīng)根據(jù)自身需求，制定防御威脅和風(fēng)險的整體網(wǎng)絡(luò)安全戰(zhàn)略。大數(shù)據(jù)需要收集不同來源、不同格式的信息，因此就需要創(chuàng)建單一系統(tǒng) 以收集、檢索、規(guī)范、分析和共享所有的信息。機構(gòu)還應(yīng)該尋找概要文件賬戶、用戶或其他實體，并跟蹤這些概要文件的異常操作。

瀚思聯(lián)合創(chuàng)始人兼首席運營官董昕說：“瀚思可以識別企業(yè)內(nèi)部哪些是敏感數(shù)據(jù)，哪些是異常訪問，以及訪問的數(shù)據(jù)類型。將工作人員的異常行為報告上級以及企業(yè)IT，從而將損失降到最低。”

結(jié)語

在國內(nèi)，雖然為配合大數(shù)據(jù)的安全解決方案不斷涌現(xiàn)，但安全團隊依然稀缺。目前專注于安全方面的數(shù)據(jù)分析師是少數(shù)，但需求量一直很高。因此，許多企業(yè)通過與外部合作以彌補內(nèi)部缺乏的分析技能。