大数据时代的信息安全对策,本文主要内容关键词为:信息安全论文,对策论文,时代论文,数据论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
大数据时代已经到来,随之而来的是更多不可预知的风险和攻击。我们要怎么做才能更好地保护自己?
《纽约时报》等媒体最近报道了很多局域性攻击的事件。不要只看这些报告的表面意义,不是真的要看到一把冒烟的枪,才知道地板上躺着一具尸体。在某种程度上,有不少“黑手”正在渗透进世界各地的商业机构、非盈利机构和政府机构,从事间谍活动和窃取知识产权的勾当。
当然应该继续努力找出网络罪犯。但最起码,对于这种状况,人们要怎么做才能更好地保护自己?
安全新挑战
恰当的理解是关键。我不喜欢“网络珍珠港”这样的词汇,它是一个不恰当的比喻,不能贴切地形容我们现在所处的境地。这个词我已经听了近10年了,但实际情况并没有什么改变。仅从互联网上引发物理性的破坏事件应该是有可能的,但可能性很小。比如近几个月里一些国家的金融服务业所遭受的破坏性攻击,不仅会造成重大的经济损失,还会引发与经济损失完全不成比例的公众信心的丧失。针对关键基础设施的任何部分的破坏性攻击也可能会如此,如针对电网的。
许多人仍然认为形势言过其实。大概在6个月前的一个演讲中,我创造了一个短语:PRGAP(公众关系鸿沟)。在媒体、普通公众和隐秘团体以及我们自己之间,已经出现了感知与现实的差距。面向FUD(Fcar,Uncertainty及Doubt)的营销,有关网络损失的数字,像“网络珍珠港”等短语可能会暂时提高人们的认识,但却无法增进对这种形势的广泛共识。
在过去的一年中,Richard Clarke在《连线》杂志的专栏中呼吁,不停地提醒着我们的关键基础设施非常脆弱。但直到最近,在媒体上也并没有怎么看到安全领域从业者、执法部门和情报界所看到的事。因为没有人希望自己的数据泄露事件或损失被曝光。因此,就像众所周知的冰山,真正的问题仍然隐藏得很深。
我可以肯定地说:“形势的确困难重重”。我们正处于一个关键的十字路口,处在信息时代发展过程中的第二个阶段,面临大数据与移动环境、云以及社交媒体驱动的社会相结合。一个时代已经逝去了,人们必须要从过去的安全教条中——被动和基于边界,以及情报驱动安全措施的迅速采用——“解放”出来。
去年3月,我曾经提出了情报驱动的安全系统的要求:透彻了解风险,基于模式识别和预测分析的敏捷控制措施的使用,以取代过时的静态控制措施,以及分析源自众多来源的巨量数据流的能力,以生成及时的、可采取行动的信息。不管你将它称做什么,情报驱动模型的想法变成了传统智慧。因此,我们开始了“新思维”——致力于智能的系统和情报的来源。
“抗漏洞”和大数据驱动的信息安全
《黑天鹅》(有关为什么金融市场还无法预测尾端风险事件的一本畅销书)的作者NassimTaleb又推出了一本更加迷人的新书《抗漏洞:从失序中获利》。大意是说,要采用自适应能力、智能学习和外部情报,以应对变得更聪明的、情报驱动的安全挑战。
如果漏洞是指导致物体在胁迫性力量的作用下损裂的脆性或弱点,那么抗漏洞是指在应对胁迫性混乱和无序时变得更强或更聪明的适应能力。
使用这样的方法,可以建立一种永不过时的、情报驱动的安全模型。也就是一个能够随着流程、技术或网络威胁发生变化而能够不断发展和学习的模型。这并不完美,却是一个基于“大数据”的正确的模型。
大数据将被应用在两个方面:安全管理和个体控制措施的开发和应用。由于安全数据的来源几乎是无限的,安全管理存在着一个远远超出传统SIEM(安全信息与事件管理)的要求。在今天的计算能力、带宽、数据库管理和存储容量下,大数据架构将具有足够的可伸缩性,不会发生数据集过大或发展得过快而无法分析的情况。利用大数据安全管理,机构将能够建立一个有关数字资产、用户和基础设施的具体信息的整合,让系统能够从众多的控制措施和情报中发现和关联人员、数据流和数据使用中存在的异常行为。
在最近一篇题为《大数据助推情报驱动的安全措施》的安全简报中,来自RSA、东北大学和博思艾伦咨询公司的专家们陈述了面向大数据的安全管理体系的组成部分:
首先,收集不同的数据类型并将其标准化,以使它们可被分析引擎使用的自动化工具查询;数据需要被存储在一个中央仓库中;系统必须包括能够为特定目的或安全目标实时处理大量快速变化的数据的分析引擎。
其次,需要具备一个非常容易共享的、机器可读的形式建立的标准化分类指标。它必须依赖于能够在多个载体间横向扩展,并有能力处理庞大而复杂的搜索和查询的N层基础设施。
最后,系统必须要有一个高度集成的风险和安全管理工具。
高度集成化是用更全面的、用于特定任务的大数据系统,如下一代身份认证及恶意软件拦截,来取代现今非系统化的、孤立的个体控制措施的关键。要具备动态性和形式感知能力,这些大数据控制措施必须要不断更新,以与情报源、GRC平台、安全管理系统进行交互。
尽管我们离这个级别完整性的控制措施和管理平台还有好几年之遥,但过程却在顺利进行之中。包括RSA在内的许多机构和安全厂商以及具有创新性的初创公司一直在构建具有大数据分析能力的工具,正如我同事在他们的研究报告中指出,“除了现有的安全工具,大数据也将激发新的工具,并超出想象地发展工具。”
四个建议
无论是行业内部或行业之间,或者是供应商之间,情报驱动的安全模型通过更好的情报分享只会取得成功。现在的问题是如何采取行动。上面介绍了大数据安全管理和大数据控制措施的属性,现在我想将重点集中在从业者可以采取的一些行动:
智能驱动的安全模型
一种能够感知风险的、基于环境的以及灵活的信息安全模型
·创建一个可转变的安全策略:
设计一个计划,以将现有的安全基础设施转变为情报驱动、并整合现时可用的大数据能力的基础设施。
·为安全信息创建一个共事的数据体系结构:
由于大数据分析需要从各种渠道收集许多种不同格式的信息,因此一个能够捕获、索引、标准化、分析和共享所有信息的单一体系结构是一个合乎逻辑的目标。
·利用开放和可扩展的大数据工具,将单点产品迁移到一个统一的安全体系结构:
随着业务、IT或网络威胁环境的发展,迁移到个体的大数据控制措施将能够以新的方式解决老的问题和新问题。这些工具之间的利用和协同将能形成一个提供真正纵深防御的、统一的安全体系结构。
·加强数据科学的运营技能:
尽管新出现的安全解决方案已经为大数据做好了准备,但安全团队可能还没准备好。安全领导应增加数据科学家,以有效地管理组织的大数据能力。因为安全领域的数据科学家非常稀少,许多组织都在考虑使用外部的合作伙伴,以补充内部的安全分析能力。
利用外部网络威胁情报——利用从尽可能多的来源获取的外部网络威胁情报服务增强内部安全分析程序。大数据实现的情报驱动的安全措施的好处在于它可以同时对已知的未知威胁以及未知的未知威胁采取行动的能力。我们应该在一个前所未有的水平上控制和维护控制措施,即使是在面临不确定性的时候。这个模型是面向未来的,即使它的运营并非如此。这就是我们不能忽略人为因素的原因。
在《信号与噪音》一书中Nate Silver暗示,如果我们否认人为因素在这个过程中的作用,大数据也只能产出很有限的结果。我最喜欢的其中一段引文是:“凯撒意识到了征兆,他只是没有想到会应验在他身上。”尽管我们的流程实现了很高的自动化程度,但仍不能放弃自己的判断和参与,也不能逃脱责任。
标签:信息安全论文;