大數據闖入防火牆:究竟大數據如何應用在防禦方案中?
安全威脅不斷轉變,黑客的技術亦愈來愈高;相反很大比例的網絡安全廠商卻仍然停留在傳統的防護方式,那就是針對網絡入口進行防護;因此作為企業也應時刻審查本身正採用的方案是否能滿足現今安全趨勢,而針對新式的攻擊活動,企業亦應該作出相應改變才是致勝之道。
話又說回來,究竟傳統上,黑客攻擊企業系統時,其著眼點會放在那裡呢?概括而言,傳統黑客攻擊心態上往往是「目標為本」,亦即是說在攻擊的設計上只針對特定目標,例如針對入侵系統的某一位置、偷取指定位置的暫存檔案等等;但正所謂「道高一尺、魔高一仗」,現今黑客攻擊的心態已變得更廣泛,單次攻擊往往反而著眼於攻擊過程,例如會考慮到完成攻擊後,所偷取的數據應暫存在受害者系統之中的那一位置才最安全?如何能植入木馬或 C&C Server 以隨時監測用户的最新動向而不被發現等等。
大部份防護方案針對網絡入口
上面都提過,現時大部份防護方案主力針對網絡入口進行檢測以及攔截等動作,但往往卻忽略了一旦誤判又或者被成功入侵後的防護工作;當然不是完全沒有,但對比針對入口的防護功能,明顯在級數上有一定差距;其實企業在選購相關方案時,應考慮一些能面對黑客成功入侵後,自動作一些動作以降低其入侵影響的方案;同時企業亦應每年針對 IT 設備作審計,以便及時揪出問題及保安漏洞,這樣才可確保整體安全。
大數據套用到保安方案中
即使企業找到了一套能符合上方要求的方案,企業還要解決另一頭痛問題,那就是常見的零日攻擊及漏洞;所謂的零日攻擊就是黑客發現了一些前所未見的最新漏洞,並通過這些仍未及時釋出修正檔案的漏洞向目標發動入侵/攻擊;這種漏洞的確十分難應付,所以企業的防護方案亦必須同時支緩大數據以及同時將防護功能整合一起,只有這樣企業才較為能解決到傳統由發現漏洞 -> 分析 -> 製作修正檔 -> 推送至用户端所需時間。
結合大數據的防護方案我們都曾經介紹過,在這種模式下,網絡相關數據將會持續被收集,而同時系統亦會不停地進行分析,這樣便可以緩解零日攻擊所帶來的影響,並且在漏洞出現前先行估算整體風險指數。
大數據如何塞進防護方案之中?
分析對於應付未知威脅十分重要,通過分析資安人員可進一步了解整個環境的狀況。對用戶和全球情報收集及分析亦有莫大幫助,以下是常見的玩法:
1. 不停步分析及檢測
連續對行為進行分析可令檢測更有效,滲入性更強。行為檢測方法,如沙盒,可作為連續分析的一個位置。行為執行時,沙盒的特性令惡意活動不會影響實際環境,而所有異常活動通過在沙盒之中進行分析後,有問題的大部份都會被捕捉。
2. 分析並自動生成紀錄
下一步就是系統會實時監測數據、文件、異常活動等,然後便可進一步處理這些信息,並以此建立活動紀錄,對抵擋攻擊有更大的幫助。
3. 預測未來攻擊
接著,系統便會正式結合大數據分析功能,並持續分析封包、如檢查傳統的病毒識別簽名檔、MD5 等等,對比資料庫後自動封殺已知危機;而持續分析常見的攻擊趨勢後,亦可針對未來的攻擊活動稍為分析,從而讓資安團隊能及早作好準備。
4. 調查更快更有效
真實的網絡活動配合上 Indicators of Compromises (IoCs) 模式為基礎,從而加快資安團隊了解和審視攻擊行為;藉由結合大數據分析,安全團隊便可以更快識別特定的原因,從而能盡可能阻止即將到來的進一步動作,提升反應以及整體效率。