长期以来,骇客和安全公司就一直在矛与盾的升级中纠缠不清,从加壳到脱壳、从特征码自动更改到云查杀、从被动防御到主动防御、到沙盒、入侵防御系统……安全工程师们在夜以继日的和网络威胁做斗争。
但随着高级骇客工具的隐秘化和完整的攻击链的形成,防御的一方感到越来越吃力,单纯的反病毒和IPS、IDS等,完全不能满足需求,抵御骇客的攻击。无法联动的安全产品和各自为战的防御态度,使得APT之类的入侵事件屡屡发生。
而IT厂商之间的分享的情报和协作的内容又十分有限,防御者对于威胁的了解程度往往落后于进攻者……
单纯的大数据能否解决问题
在经过各种教训之后,安全专家们突然发现,大量数据内容的分析为快速找到安全问题提供了更好的方式。
但是,海量数据越来越多,但并非所有数据都是我们所需要的有价值的信息,而安全从业者又需要关心这些数据的安全威胁到底来自于哪里,需要找到哪些会影响安全的数据,以相应的工具或技术,把那些威胁数据提炼出来,并进行分析。
让大数据为网络安全提升效率
如果把大数据安全比作情报驱动型安全的话,那它必须具备更智能的来源才会效果更佳。
目前,IBM和HP等IT巨头已经把对大数据安全的关注演变为把企业搜索和知识管理资源与安全事件和信息管理结合起来以便检测出网络攻击或恶意的员工操作。
在2013年的RSA大会上,EMC公司执行副总裁兼RSA执行主席亚瑟·科维洛作了开幕主题演讲。他谈到了大数据彻底改变信息安全行业、信息技术、企业和社会的方式。尤其是,基于强大的大数据分析的智能驱动型的安全战略将帮助信息安全从业人员重获警惕性和时间的优势,以使他们更好地检测和防御高级网络威胁。
科维洛特别提到,可供挖掘的非结构化数据数量巨大,极其丰富多变,这为企业和社会创造了巨大的机会,不过同样是这些数据,也为对手提供了新的攻击载体。大数据应用及存储成为企业‘皇冠上明珠’的日子已为期不远……
Sophos的大数据安全看法
Sophos的中国区总经理在钟明辉认为:要将云安全落地,就需要更多地探讨大数据及大数据安全问题。大数据概念很大,既包括对大数据本身的安全保护,也包括通过对大数据的收集、整合和分析,提供更多更好的安全情报。用户将数据上传到云,或从云中下载数据时,都需要扫描和屏蔽恶意数据;在云中,也需要通过定时扫描,检查和屏蔽恶意数据。
在谈到大数据的分析和整合时,钟明辉也提到了SOC(安全管理运维平台)——这一目前在业界开始流行的概念,他表示,Sophos在这个SOC信息采集工作上做的很全面,包括在主机监控、日志审计、病毒监控等方面,都有着丰富的经验。这也是Sophos未来会在大数据安全上持续研究的一个方向。
关于Sophos
Sophos 是一个全球化的公司,总部设在英国和美国,其子公司总部设在澳大利亚、加拿大、法国、德国、意大利、日本和新加坡。
该公司为商业机构、教育机构和政府机构提供防御病毒、间谍软件和广告等垃圾邮件的完整解决方案,使这些客户免遭病毒和垃圾邮件的侵害。它拥有全球大大小小,来自各行各业的一亿多企业用户。
基于20年的经验和专业知识,Sophos可以随时帮客户解决其所面临的任何威胁。其全球安全研究中心SophosLabs,从事对全球的安全隐患的调查研究,并24小时提供对任何地区任何新型病毒的预防和有效防御的分析报告。