巨量分析应用与新型态网安防护
- DIGITIMES企划
-
科技发展日新月异,就联网安威胁也不例外。网安科技研究所毛敬豪博士指出,2013年全球在防火墙(Firewall)、入侵预防(Intrusion Prevention)与端点防护(Endpoint Protection)已投入超过1,200亿美元,Garnter更预测在2017年时,25%的企业网络流量将会直接从移动设备到云端,也因此将会会跳过传统网安防护机制,面对新型态的网安威胁,企业必须思考因应之道。
毛敬豪指出,从司诺登(Snowden)事件中可以得知,分析稽核轨迹,测知异常行为并主动警示的迫切性。因为司诺登先是以外包厂商的身份,取得美国国家安全局(National Security Agency;NSA)内部的第二级控管权限,进而设法取得最高级的控管权限,但他不是一次就取得,如果NSA能进行分析稽核轨迹,就不会让他取得这麽机密的数据。
此外,目标式攻击层面也开始扩展至中小企业,庞大的网安信息要如何执行仓储、分析及后续加值应用,将是未来必须面对的挑战。毛敬豪认为,网安威胁分析与联防,将是未来因应新型态网安威胁时的首要之务,要从传统网安设备关联规则比对,提升与扩大应用层、云端服务日志监控与分析,不能只看网络设备的纪录而已,必须要针对企业的状况定制化,同时对于外部威胁及内部合规进行监控。
毛敬豪指出,目前由个人行为所产生的数据,占全数数码数据的70%,其中有85%的数据为非结构化数据,压缩及制作索引都非常不容易,分析也变得比较困难。但即使是结构化数据,分析的压力也非常大,毛敬豪以飞机引擎为例,一个小时会产生的数据纪录就高达20TB,一年累积产生的纪录高达1,041,600,500TB,分析难度可想而知。
然而,信息安全分析所面临的挑战,就是当网安威胁发生时,能够反应的时间非常紧迫,而要在这麽多的数据中,找到需要的信息很不容易。毛敬豪认为,要面对大量、杂讯、数据分布不平均、时间紧急的挑战,首先要建立的观念,就是大多数的纪录其实并没有分析的价值,有无必要针对全部的数据进行分析,是一个值得探讨的议题。
巨量数据分析需要面对的问题包括储存及分析两大领域,其中又以安全性信息和事件管理(Security Information Event Management;SIEM)与巨量数据分析有着密切关联。毛敬豪指出,是因为应用层的纪录也应该纳入网安监控范围,才能设法让网安监控规则能适用于真正的运作,如针对员工登录的次数、时间及连结到网络硬盘的次数进行分析,就可能可以判断出员工是否倦勤,但许多企业因为直接使用Dropbox之类的云端服务,如何监控是个值得关注的领域。
而这些攸关网安的数据特性,因为符合巨量数据的特性,也因此发展出安全分析服务(Security Analytics Service Provider;SASP)核心技术,可以自动分析威胁行为样式,掌握威胁情报,实时回馈防护产品进行加值联防,成为网安产业朝服务转型升级发展的关键。
毛敬豪指出,业者首先要建立异质性数据情蒐机制,善用各种工具,快速找出攻击的特徵,如攻击特徵萃取技术,是将异质网安情资的聚合成果,应用可扩展性的数据探勘技术,萃取跨异质性、跨区域性与跨时间性的网安威胁样态特徵。
另一种技术为长周期威胁趋势分析技术,是将多面向威胁样态与数据特徵,透过图形探勘及图形扩散与推论技术,持续剖析大规模异质网络节点与服务的威胁发生周期频率、扩散趋势及潜在威胁,以此来制定更进一步的网安政策。
但事实上,许多企业现在面对的巨量数据分析问题,如跨组织交流情报、完整行为监测等,关键在于能否持续监测,尤其是以云端环境为基础的社群信息,更是重要。毛敬豪认为,企业绝对不能不理会社群网站流传的信息。
为了找出社群网站的网安威胁,毛敬豪建议可以先从名人着手,以网安议题为例,可以先寻找谁是网安领域较为知名的人物,延伸到1万多个网安专家后,然后再看谁是最快传递信息的人(Gossipmongers),最后是找出教父等级的专家(Gray Cardinal),因为讲话最有份量,影响力最大,也就成为最重要的关注对象,从群聚现象中可以看到,信息互相交流频繁,有助于找出趋势,最后建立完整构面的数据。
毛敬豪指出,巨量数据虽然热门,有其价值存在,但不能人云亦云,价格、技术都是目前可能面临的问题,要先了解有哪些状况,再决定要进行什麽投资,才不会浪费,真的要做巨量数据研究,从SIEM着手是不错的选择。
