改進(jìn)大數(shù)據(jù)分析應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)

童岳

為了應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)和威脅，組織必須改進(jìn)大數(shù)據(jù)分析，這就是大數(shù)據(jù)分析很重要的原因。

大容量存儲(chǔ)和移動(dòng)計(jì)算的進(jìn)步帶來(lái)了“大數(shù)據(jù)”這個(gè)新興技術(shù)。這些技術(shù)的進(jìn)步和發(fā)展帶來(lái)了可以實(shí)時(shí)處理大量信息的解決方案和工具，這就是大數(shù)據(jù)分析需求變得如此“巨大”的原因。

更具體地說(shuō)，大數(shù)據(jù)分析使用戶能夠從大量數(shù)據(jù)中生成相關(guān)的見解。信息安全專家發(fā)現(xiàn)，大數(shù)據(jù)分析對(duì)分析網(wǎng)絡(luò)威脅非常有幫助，但在深入探討其與網(wǎng)絡(luò)安全的相關(guān)性之前，需要了解它是如何工作的。

大數(shù)據(jù)分析

大數(shù)據(jù)分析是一次評(píng)估大量信息的過(guò)程，其信息可以是半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)集的組合，例如來(lái)自Web服務(wù)器日志、社交媒體和網(wǎng)絡(luò)流量日志等。

在網(wǎng)絡(luò)安全中，大數(shù)據(jù)分析的目標(biāo)是發(fā)現(xiàn)關(guān)鍵細(xì)節(jié)，以幫助組織做出明智的決策。有了這些知識(shí)，網(wǎng)絡(luò)安全團(tuán)隊(duì)可以提高他們的網(wǎng)絡(luò)安全性并掌握新出現(xiàn)的威脅，防止數(shù)據(jù)泄露。

大數(shù)據(jù)分析是靈丹妙藥嗎

大數(shù)據(jù)分析為安全分析師提供了所需的信息，以便更有效地檢測(cè)、觀察和檢查網(wǎng)絡(luò)中的問(wèn)題。這種能力使其流程在抵御當(dāng)前和潛在的網(wǎng)絡(luò)威脅時(shí)更加主動(dòng)。

采用正確的方法，來(lái)自大數(shù)據(jù)的相關(guān)安全信息可以大大減少分析人員識(shí)別和解決問(wèn)題所需的時(shí)間。因此，專家可以預(yù)測(cè)并防止?jié)撛诘娜肭帧?/p>

考慮到這一目的，是否足以分析組織網(wǎng)絡(luò)中的數(shù)據(jù)？還是有辦法進(jìn)一步加強(qiáng)大數(shù)據(jù)分析？

組織需要訪問(wèn)盡可能多的相關(guān)信息，以充分利用大數(shù)據(jù)。其他資源可以幫助分析師進(jìn)行急需的比較和驗(yàn)證，以確定優(yōu)先級(jí)并保護(hù)IT系統(tǒng)免受威脅。

由于大多數(shù)網(wǎng)絡(luò)攻擊都涉及網(wǎng)站和IP地址的使用，因此組織的數(shù)據(jù)饋送包可以提高組織的大數(shù)據(jù)分析能力。

域數(shù)據(jù)如何增強(qiáng)大數(shù)據(jù)分析

分析師可以使用歷史域數(shù)據(jù)來(lái)確定過(guò)去與攻擊有關(guān)的網(wǎng)站。他們可以收集有關(guān)域歷史的詳細(xì)信息，并將其與大數(shù)據(jù)分析工具結(jié)合使用。這樣做可以為網(wǎng)絡(luò)安全專家提供獲取線索甚至創(chuàng)建網(wǎng)絡(luò)攻擊者威脅概況所需的信息。

來(lái)自受信任的WHOIS是用來(lái)查詢域名、IP以及所有者等信息的傳輸協(xié)議和IP地理位置數(shù)據(jù)庫(kù)的域數(shù)據(jù)也可以幫助查明網(wǎng)絡(luò)攻擊者的位置。與域相關(guān)的國(guó)家和注冊(cè)商之類的詳細(xì)信息可能會(huì)提示網(wǎng)絡(luò)攻擊來(lái)自何處。

在域上使用大數(shù)據(jù)的另一個(gè)實(shí)例是部署入侵檢測(cè)系統(tǒng)（IDS）。入侵檢測(cè)系統(tǒng)專家可能會(huì)使用大規(guī)模的WHOIS數(shù)據(jù)庫(kù)，為他們提供實(shí)時(shí)域信息，以識(shí)別潛在的攻擊媒介。

借助現(xiàn)有的威脅數(shù)據(jù)和域報(bào)告，組織可以快速發(fā)現(xiàn)可疑的網(wǎng)絡(luò)活動(dòng)，然后才可能有效應(yīng)對(duì)攻擊。

這些只是域數(shù)據(jù)如何改善網(wǎng)絡(luò)安全中的有關(guān)大數(shù)據(jù)分析的幾個(gè)例子。

當(dāng)組織能夠獲得盡可能多的可用信息時(shí)，網(wǎng)絡(luò)安全中的大數(shù)據(jù)分析最有效。只有全面掌握IP地址、域名和其他相關(guān)威脅調(diào)查來(lái)源的情報(bào)，組織才能增強(qiáng)網(wǎng)絡(luò)安全，從而遇到未知的網(wǎng)絡(luò)攻擊也能保持安全。

當(dāng)選擇正確的數(shù)據(jù)源時(shí)，需要考慮一些不需要操作、已經(jīng)存在的系統(tǒng)需求數(shù)據(jù)源。例如像whois.xmlapi.com這樣的WHOIS數(shù)據(jù)提供商可以幫助組織增強(qiáng)抵御網(wǎng)絡(luò)威脅的能力。