主动防御：大数据引发的信息安全技术革命

(Photo: Reuters)

社会化网络时代，黑客的攻击手法日趋多样化和高级化，企业面临的信息安全风险正成倍放大，IBM和思科等IT巨头也纷纷通过收购提供大数据信息安全解决方案。大数据预测分析技术能正把被动的事后分析变成主动的事前防御，这也是大数据分析带给信息安全领域的最大创新。

在IT经理网之前的文章“警务2.0：用大数据预防犯罪”一文中，我们了解到社会化分析和预测型分析将会是大数据警务应用的两个热门领域，而在线上，大数据分析也已经开始给传统的IT安全领域带来很多创新。 上个月底， IBM推出了一个“IBM安全情报大数据”的解决方案。 把传统的安全情报和大数据分析结合了起来， 可以帮助用户发现隐藏在海量企业数据中的潜在威胁。

这套解决方案可以帮助安全分析师分析来自外部的攻击以及来自内部的安全威胁。 根据IBM的报告， 这个系统可以实时地关联和分析海量的结构化的数据（如企业的安全设备警告，网络日志， DNS数据以及网络流数据）以及非结构化的数据（如电子邮件， 社交媒体内容， 数据包分析以及商业交易数据等等）。此外， 这个系统还具备了电子物证采集的能力。

通过对结构化的安全数据， 结合非结构化的数据的分析， 可以帮助企业从海量的数据中， 发现深藏在其中的攻击行为。

这套解决方案是建立多个IBM的信息系统平台上的。 其中的实时关联和异常检测来自于QRadar平台， 这个平台的技术来自于IBM于2011年收购的Q1Labs。 而商业数据的采集和分析， 则是由IBM InfoSphere BigInsights平台提供。

“IBM安全情报大数据“ 解决方案的一些主要特点如下：

1. 针对安全数据和网络数据的实时关联和异常检测

2. 对安全情报数据的高速查询

3. 对各类结构化和非结构化数据的灵活分析（包括电子邮件， 社交媒体内容， 商业流程数据， 网络设备数据等等）

4. 提供前端的图形工具， 以帮助进行大数据的分析和可视化

5. 对网络行为的深度电子取证能力

而无独有偶， 思科最近也刚刚收购了Cognitive Security。 这也是一家利用人工智能方式检测高级网络攻击的公司。而RSA 也在最近宣布了RSA Security Analytics的产品，该产品结合了NetWitness电子取证和Envision日志管理系统。

大数据分析正在以一种创新的方式改变着传统的信息安全领域

传统的信息安全分析， 是针对设备日志， 进行事后分析， 而采用了大数据分析的技术， 就有可能在数据流进入的时候，实时地分析数据的模式， 判别， 分类以及对攻击进行优先级排序等等。 例如， 可以通过对海量日志数据的分析， 结合黑客攻击的不同步骤的模式， 提前判断出某次网络攻击。从而采取事前预防的手段。

RSA的产品营销总监Paul Stamp说“假如一个黑客用了5个IP地址， 4个用户ID和12个账户， 采用（RSA Security Analytics）可以使发现这种行为的时间从过去的几天缩短到几分钟。”

当然， 正如RSA的董事会执行主席Art Coviello所说的那样：“从来都没有完美的信息安全方案。 我们能做的就是让你的风险降到最低。”而大数据分析，从单纯的日志分析扩展到了全面地结构化非结构化的数据分析。这样极大地扩大了安全分析的深度和广度， 把被动的事后分析变成主动的事前防御。 这也是大数据分析带给信息安全领域的最大创新。