攻擊大數(shù)據(jù)

孫杰賢

電影《天下無賊》中曾有這樣一句經(jīng)典的臺(tái)詞——“二十一世紀(jì)什么最貴？人才！”，然而時(shí)代變了。

進(jìn)入信息社會(huì)，面對大數(shù)據(jù)的洶涌來襲，數(shù)據(jù)正在逐步取代人才而成為企業(yè)的核心競爭力。對于企業(yè)來說，大數(shù)據(jù)的價(jià)值有很多，具體比如支撐戰(zhàn)略決策，提高客服水平，精準(zhǔn)市場營銷，強(qiáng)化財(cái)務(wù)管理，創(chuàng)新產(chǎn)品開發(fā)等等。可以說，大數(shù)據(jù)的價(jià)值體現(xiàn)在企業(yè)運(yùn)營的各個(gè)環(huán)節(jié)，這是未來智慧企業(yè)的基礎(chǔ)。

先看一個(gè)頂級電信運(yùn)營商T-Mobile的例子。該公司在多個(gè)IT系統(tǒng)中整合了大數(shù)據(jù)應(yīng)用，對客戶交易和互動(dòng)數(shù)據(jù)進(jìn)行綜合分析，更準(zhǔn)確地預(yù)測客戶流失率。通過將社交媒體數(shù)據(jù)、CRM和計(jì)費(fèi)系統(tǒng)中的交易數(shù)據(jù)進(jìn)行綜合分析，T-mobile在一個(gè)季度內(nèi)將客戶流失率降低了一半。“這是一個(gè)意想不到的禮物。” T-mobile的一位發(fā)言人如此表示。而美國快運(yùn)是美國第二大物流公司，該公司也部署了一系列的運(yùn)輸大數(shù)據(jù)應(yīng)用，采集上千種數(shù)據(jù)類型，從油耗、胎壓、卡車引擎運(yùn)行狀況到GPS信息等，甚至從司機(jī)們抱怨該系統(tǒng)的博客中收集數(shù)據(jù)，并通過分析這些數(shù)據(jù)來優(yōu)化車隊(duì)管理、提高生產(chǎn)力、降低油耗，每年節(jié)省了數(shù)百萬美元的運(yùn)營成本。

這就是大數(shù)據(jù)的力量，誠如《大數(shù)據(jù)時(shí)代的歷史機(jī)遇》一書中提到的，大數(shù)據(jù)是擁有價(jià)值的資產(chǎn)，可變現(xiàn)，誰擁有大數(shù)據(jù)資產(chǎn)，誰將在行業(yè)變革中占得先機(jī)。

大風(fēng)險(xiǎn)

但是，大數(shù)據(jù)背后也蘊(yùn)藏著很大的風(fēng)險(xiǎn)。根據(jù)瑞星“2013年上半年中國信息安全綜合報(bào)告”，我國企業(yè)的信息安全體系形同虛設(shè)，而且雖然虛擬化、云計(jì)算、移動(dòng)計(jì)算、社交網(wǎng)絡(luò)以及BYOD等新技術(shù)和新應(yīng)用的出現(xiàn)，企業(yè)的信息安全正遭受前所未有的挑戰(zhàn)。而大數(shù)據(jù)與這些新技術(shù)、新應(yīng)用有著千絲萬縷的聯(lián)系。

技術(shù)專家告訴我們，無論是從企業(yè)存儲(chǔ)策略與環(huán)境來看，還是從數(shù)據(jù)與存儲(chǔ)操作的角度來看，大數(shù)據(jù)有可能會(huì)帶來巨大的“管理風(fēng)險(xiǎn)”，成為黑客們發(fā)動(dòng)攻擊的新載體，如果不能妥善解決會(huì)造成“大數(shù)據(jù)就是大風(fēng)險(xiǎn)”的可怕后果。

與大數(shù)據(jù)相關(guān)的安全問題主要有如下幾方面：最直接的一個(gè)問題是隨著產(chǎn)生、存儲(chǔ)、分析的數(shù)據(jù)量越來越大，隱私和合規(guī)等問題在未來幾年將變得非常突出；其次，隨著云計(jì)算的普及，云端大數(shù)據(jù)對于黑客們來說是個(gè)極具吸引力的目標(biāo)；此外，以社交網(wǎng)絡(luò)為代表的在線商務(wù)活動(dòng)的增多使得在線數(shù)據(jù)越來越多，黑客們的犯罪動(dòng)機(jī)也比以往任何時(shí)候都來得強(qiáng)烈；與此同時(shí)，在IT消費(fèi)化的大趨勢下，BYOD將大行其道，而移動(dòng)設(shè)備和數(shù)據(jù)向來是黑客們?nèi)肭制髽I(yè)內(nèi)網(wǎng)的首選途徑；最后一點(diǎn)，信息社會(huì)的網(wǎng)絡(luò)化和開放性使得分布在不同地區(qū)的企業(yè)資源甚至是產(chǎn)業(yè)鏈合作伙伴的資源可以快速整合，動(dòng)態(tài)配置，實(shí)現(xiàn)數(shù)據(jù)集合的共建共享，這樣便會(huì)存在安全上的短板效應(yīng)，從而更容易吸引黑客的攻擊，也更容易被攻破。

正如Gartner所說，“大數(shù)據(jù)安全是一場必要的斗爭”，大數(shù)據(jù)可能在不知不覺中已把企業(yè)給出賣。那么，企業(yè)該如何應(yīng)對？首要的一點(diǎn)是企業(yè)必須要提高安全意識(shí)，明確安全責(zé)任，因?yàn)槲覀冎溃芾矶桃曇恢笔瞧髽I(yè)信息安全最大的隱憂，提高企業(yè)管理層以及IT部門對信息安全的認(rèn)識(shí)，是確保企業(yè)信息安全的根本。在此基礎(chǔ)之上，企業(yè)應(yīng)該對當(dāng)前的IT環(huán)境做全面細(xì)致的評估，發(fā)現(xiàn)隱患和薄弱環(huán)節(jié)，完善或者修改企業(yè)整體的安全策略和體系架構(gòu)。接下來便是根據(jù)企業(yè)自身實(shí)際來規(guī)劃具體的防范措施并強(qiáng)力執(zhí)行了。

以上列舉的應(yīng)對舉措看似簡單，實(shí)則不易，瑞星公司的安全報(bào)告已經(jīng)很好的證明了這一點(diǎn)。大家都知道該怎么做，但由于各種因素的限制，結(jié)果總是差強(qiáng)人意。

言歸正傳，大數(shù)據(jù)有可能帶來大風(fēng)險(xiǎn)，但是比較有意思的事情是，利用“大數(shù)據(jù)”卻能有效提高企業(yè)的安全防范水平，用奇虎360副總裁譚曉生的話說就是大數(shù)據(jù)也能成就大安全。

大安全

在說奇虎360的案例之前，我們先接觸一個(gè)名詞——APT攻擊。APT中文名稱是“高級持續(xù)性威脅”，是黑客以竊取核心資料為目的，針對客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。

“這種行為往往經(jīng)過長期的經(jīng)營與策劃，并具備高度的隱蔽性，奇虎360便倍受這種攻擊的困擾。為此，奇虎360根據(jù)APT攻擊特點(diǎn)并結(jié)合自己的經(jīng)驗(yàn)制定了一套‘云+端+邊界的防御思路。” 譚曉生說。具體是利用360云計(jì)算技術(shù)的優(yōu)勢研發(fā)了一套基于大數(shù)據(jù)的全流量偵聽，未知威脅捕捉設(shè)備，結(jié)合終端管理系統(tǒng)和軟硬件設(shè)備準(zhǔn)入策略，可有效預(yù)防APT，并且可以在終端一旦被人搞定后迅速捕捉未知威脅。

APT攻擊往往潛藏?cái)?shù)年，要想對其進(jìn)行分析，就要調(diào)出企業(yè)一兩年內(nèi)的安全日志，并且進(jìn)行對比分析，企業(yè)安全管理系統(tǒng)的功能再強(qiáng)大也難以完成這個(gè)任務(wù)，因?yàn)槿魏我粋€(gè)安全解決方案都很難實(shí)現(xiàn)每隔一段時(shí)間就對上百億條信息做一次關(guān)聯(lián)分析，而借助大數(shù)據(jù)便可以有效解決這一點(diǎn)。而奇虎360的實(shí)踐也成功證明，基于大數(shù)據(jù)技術(shù)來防范APT攻擊是十分有效的。

防APT攻擊只是大數(shù)據(jù)技術(shù)在信息安全領(lǐng)域的價(jià)值體現(xiàn)之一，EMC公司甚至認(rèn)為，大數(shù)據(jù)技術(shù)的目標(biāo)之一便是使安全專家更方便地使用高級分析技術(shù)，例如預(yù)測性分析和高級統(tǒng)計(jì)技術(shù)。

企業(yè)要想充分利用“大數(shù)據(jù)”來實(shí)現(xiàn)有效的安全管理，企業(yè)IT基礎(chǔ)架構(gòu)必須能夠在企業(yè)層面上收集和管理安全數(shù)據(jù)，并進(jìn)行擴(kuò)展以滿足當(dāng)今的企業(yè)級需求（包括物理要求和經(jīng)濟(jì)要求）。這意味著進(jìn)行“橫向擴(kuò)展”而非“縱向擴(kuò)展”，因?yàn)閷⑺羞@些數(shù)據(jù)集中化在實(shí)際情況中是不可能的。此外，該基礎(chǔ)架構(gòu)還需要能夠輕松擴(kuò)展以適應(yīng)新的環(huán)境，并時(shí)刻準(zhǔn)備好發(fā)展和完善以支持對不斷演變的威脅進(jìn)行分析。當(dāng)然，還需要輔以專業(yè)的安全分析工具和威脅智能技術(shù)。

盡管大多數(shù)組織對信息安全進(jìn)行了大量投資，攻擊者看起來仍略勝一籌。根據(jù)美國電信運(yùn)營商Verizon 的數(shù)據(jù)違規(guī)調(diào)查報(bào)告，91% 的違規(guī)都會(huì)導(dǎo)致數(shù)據(jù)在幾天甚至更短的時(shí)間內(nèi)受損，而 79%的違規(guī)需要幾個(gè)星期甚至更長時(shí)間才會(huì)被發(fā)現(xiàn)。而大數(shù)據(jù)給信息安全防護(hù)帶來的最大改變恰恰就是通過自動(dòng)化分析處理與深度挖掘相結(jié)合，可以將之前很多時(shí)候亡羊補(bǔ)牢式的事中、事后處理，轉(zhuǎn)向事前自動(dòng)評估預(yù)測、應(yīng)急處理，讓安全防護(hù)由之前的被動(dòng)變?yōu)橹鲃?dòng)，這是一個(gè)里程碑式的改變，將對企業(yè)信息安全形成深遠(yuǎn)的影響。