通过大数据,人们可以分析大量的潜在安全事件,找出它们之间的联系从而勾勒出一个完整的安全威胁。通过大数据,分散的数据可以被整合起来,使得安全人员能够采用更加主动的安全防御手段。
今天,网络环境极为复杂,APT攻击以及其他一些网络攻击可以通过对从不同数据源的数据的搜索和分析来对安全威胁加以甄别,要做到这一点,就需要对一系列数据源的进行监控,包括DNS数据,命令与控制(C2),黑白名单等。从而能够把这些数据进行关联来进行发囧。
企业针对安全的大数据分析下面是一些要点:
DNS数据
DNS数据能够提供一系列新注册域名,经常用来进行垃圾信息发送的域名,以及新创建的域名等等,所有这些信息都可以和黑白名单结合起来,所有这些数据都应该收集起来做进一步分析。
如果自有DNS服务器,就能过检查那些对外的域名查询,这样可能发现一些无法解析的域名。这种情况就可能意味着你检测到了一个“域名生成算法”.这样的信息就能够让安全团队对公司网络进行保护。而且如果对局域网流量数据日志进行分析的话,就有可能找到对应的受到攻击的机器。
命令与控制(C2)系统
把命令与控制数据结合进来可以得到一个IP地址和域名的黑名单。对于公司网络来说,网络流量绝对不应该流向那些已知的命令与控制系统。如果网络安全人员要仔细调查网络攻击的话,可以把来自C2系统的流量引导到公司设好的“蜜罐”机器上去。
安全威胁情报
有一些类似与网络信誉的数据源可以用来判定一个地址是否是安全的。有些数据源提供“是”与“否”的判定,有的还提供一些关于威胁等级的信息。网络安全人员能够根据他们能够接受的风险大小来决定某个地址是否应该访问。
网络流量日志
有很多厂商都提供记录网络流量日志的工具。在利用流量日志来分析安全威胁的时候,人们很容易被淹没在大量的“噪音”数据中。不过流量日志依然是安全分析的基本要求。有一些好的算法和软件能够帮助人们提供分析质量。
“蜜罐”数据
“蜜罐”可以有效地检测针对特定网络的恶意软件。此外,通过“蜜罐”获得的恶意软件可以通过分析获得其特征码,从而进一步监控网络中其他设备的感染情况。这样的信息是非常有价值的,尤其是很多APT攻击所采用的定制的恶意代码往往无法被常规防病毒软件所发现。参见本站文章企业设置“蜜罐”的五大理由
数据质量很重要
最后,企业要注意数据的质量。市场上有很多数据可用,在安全人员进行大数据安全分析时,这些数据的质量和准确性是一个最重要的考量。因此,企业需要有一个内部的数据评估团队针对数据来源提出相应的问题,如:最近的数据是什么时候添加的?有没有样本数据以供评估?每天能够添加多少数据?这些数据哪些是免费的?数据总共收集了多久?等等。
安全事件和数据泄露的新闻几乎每天都能够出现在报纸上,即使企业已经开始采取手段防御APT,传统的安全防御手段对于APT之类的攻击显得办法不多。而利用大数据,企业可以采取更为主动的防御措施,使得安全防御的深度和广度都大为加强。