■劉文

大數(shù)據(jù)如何應用在防御方案中？

■劉文

安全威脅不斷轉變，黑客的技術亦愈來愈高；相反很大比例的網(wǎng)絡安全廠商卻仍然停留在傳統(tǒng)的防護方式，那就是針對網(wǎng)絡入口進行防護；因此作為企業(yè)也應時刻審查本身正採用的方案是否能滿足現(xiàn)今安全趨勢，而針對新式的攻擊活動，企業(yè)亦應該作出相應改變才是致勝之道。

話又說回來，究竟傳統(tǒng)上，黑客攻擊企業(yè)系統(tǒng)時，其著眼點會放在那裡呢？概括而言，傳統(tǒng)黑客攻擊心態(tài)上往往是「目標為本」，亦即是說在攻擊的設計上只針對特定目標，例如針對入侵系統(tǒng)的某一位置、偷取指定位置的暫存檔案等等；但正所謂「道高一尺、魔高一仗」，現(xiàn)今黑客攻擊的心態(tài)已變得更廣泛，單次攻擊往往反而著眼于攻擊過程，例如會考慮到完成攻擊后，所偷取的數(shù)據(jù)應暫存在受害者系統(tǒng)之中的那一位置才最安全？如何能植入木馬或C&C Server以隨時監(jiān)測用戶的最新動向而不被發(fā)現(xiàn)等等。

大部份防護方案針對網(wǎng)絡入口

上面都提過，現(xiàn)時大部份防護方案主力針對網(wǎng)絡入口進行檢測以及攔截等動作，但往往卻忽略了一旦誤判又或者被成功入侵后的防護工作；當然不是完全沒有，但對比針對入口的防護功能，明顯在級數(shù)上有一定差距；其實企業(yè)在選購相關方案時，應考慮一些能面對黑客成功入侵后，自動作一些動作以降低其入侵影響的方案；同時企業(yè)亦應每年針對IT設備作審計，以便及時揪出問題及保安漏洞，這樣才可確保整體安全。

大數(shù)據(jù)套用到保安方案中

即使企業(yè)找到了一套能符合上方要求的方案，企業(yè)還要解決另一頭痛問題，那就是常見的零日攻擊及漏洞；所謂的零日攻擊就是黑客發(fā)現(xiàn)了一些前所未見的最新漏洞，并通過這些仍未及時釋出修正檔案的漏洞向目標發(fā)動入侵/攻擊；這種漏洞的確十分難應付，所以企業(yè)的防護方案亦必須同時支緩大數(shù)據(jù)以及同時將防護功能整合一起，只有這樣企業(yè)才較為能解決到傳統(tǒng)由發(fā)現(xiàn)漏洞-＞分析-＞製作修正檔-＞推送至用戶端所需時間。

結合大數(shù)據(jù)的防護方案我們都曾經(jīng)介紹過，在這種模式下，網(wǎng)絡相關數(shù)據(jù)將會持續(xù)被收集，而同時系統(tǒng)亦會不停地進行分析，這樣便可以緩解零日攻擊所帶來的影響，并且在漏洞出現(xiàn)前先行估算整體風險指數(shù)。

大數(shù)據(jù)如何塞進防護方案之中？

分析對于應付未知威脅十分重要，通過分析資安人員可進一步了解整個環(huán)境的狀況。對用戶和全球情報收集及分析亦有莫大幫助，以下是常見的玩法：

1.不停步分析及檢測

連續(xù)對行為進行分析可令檢測更有效，滲入性更強。行為檢測方法，如沙盒，可作為連續(xù)分析的一個位置。行為執(zhí)行時，沙盒的特性令惡意活動不會影響實際環(huán)境，而所有異?；顒油ㄟ^在沙盒之中進行分析后，有問題的大部份都會被捕捉。

2.分析并自動生成紀錄

下一步就是系統(tǒng)會實時監(jiān)測數(shù)據(jù)、文件、異?；顒拥龋缓蟊憧蛇M一步處理這些信息，并以此建立活動紀錄，對抵擋攻擊有更大的幫助。

3.預測未來攻擊

接著，系統(tǒng)便會正式結合大數(shù)據(jù)分析功能，并持續(xù)分析封包、如檢查傳統(tǒng)的病毒識別簽名檔、MD5等等，對比資料庫后自動封殺已知危機；而持續(xù)分析常見的攻擊趨勢后，亦可針對未來的攻擊活動稍為分析，從而讓資安團隊能及早作好準備。

4.調(diào)查更快更有效

真實的網(wǎng)絡活動配合上Indicators of Compromises(IoCs)模式為基礎，從而加快資安團隊了解和審視攻擊行為；藉由結合大數(shù)據(jù)分析，安全團隊便可以更快識別特定的塬因，從而能盡可能阻止即將到來的進一步動作，提升反應以及整體效率。