企業(yè)安全團(tuán)隊(duì)真的在意“大數(shù)據(jù)安全”嗎?
今年RSA會(huì)議的一個(gè)大型主題是一個(gè)“大數(shù)據(jù)安全”概念。這個(gè)想法是存儲(chǔ)與網(wǎng)絡(luò)安全和業(yè)務(wù)環(huán)境有關(guān)的大量數(shù)據(jù)以便進(jìn)行分析,準(zhǔn)確地找出惡意軟件、內(nèi)部惡意人員和旨在竊取敏感數(shù)據(jù)的隱蔽攻擊。
但是,參加討論大數(shù)據(jù)安全的小組會(huì)的四位首席信息安全官指出,他們手上已經(jīng)有許多安全數(shù)據(jù),需要每天進(jìn)行分析以保護(hù)其公司網(wǎng)絡(luò)。現(xiàn)在,那些數(shù)據(jù)已經(jīng)足夠用。他們的觀點(diǎn)是,大企業(yè)(特別是特大企業(yè))部署大數(shù)據(jù)安全還需要等待一段時(shí)間,盡管IBM、惠普和EMC的RSA安全部門(mén)堅(jiān)持說(shuō)大數(shù)據(jù)是企業(yè)安全的下一個(gè)大事。
但是,惠普、IBM和RSA關(guān)于大數(shù)據(jù)的概念也基本上是實(shí)驗(yàn)性的,需要使用這些廠商的安全事件信息管理(SIEM)產(chǎn)品與安全事件信息和業(yè)務(wù)環(huán)境的龐大的數(shù)據(jù)庫(kù)分析結(jié)合在一起才能幫助準(zhǔn)確地發(fā)現(xiàn)攻擊。
在RSA會(huì)議的小組會(huì)上發(fā)表講話的首席信息安全官包括Jeffries投資公司的Ramin Safai、eBay旗下X.commerce公司的Alex Tosheff 、Overstock.com電子商務(wù)公司的Carter Lee、管理的服務(wù)提供商DataShield公司的Praveen Money。他們指出,他們的企業(yè)不斷地遭到這樣或者那樣的攻擊。他們和他們的員工努力阻止攻擊,識(shí)別攻擊者以便認(rèn)識(shí)他們的攻擊方式并且采取措施把攻擊者擋在企業(yè)網(wǎng)絡(luò)之外。
在這些公司,與攻擊和可疑事件有關(guān)的安全數(shù)據(jù)是足夠大的。Carter Lee說(shuō),每天接收的安全數(shù)據(jù)有40TB,Overstock.com公司還存儲(chǔ)更多的圍繞這些攻擊的大數(shù)據(jù)。
eBay旗下X.commerce公司的Tosheff稱(chēng),這是一場(chǎng)軍備競(jìng)賽。安全事件信息來(lái)自于網(wǎng)絡(luò)層、應(yīng)用層和桌面。我們每秒看到1萬(wàn)個(gè)事件。
Jeffries投資公司的Safai說(shuō),該公司甚至使用自己版本的蜜罐。所謂蜜罐是很容易進(jìn)入的PC。如果我們檢測(cè)到有人入侵那臺(tái)PC,我們就設(shè)法查出原因。他說(shuō),該公司使用FireEye和Solera安全技術(shù)獲取數(shù)據(jù)包。他補(bǔ)充說(shuō),把業(yè)務(wù)向具有更多的風(fēng)險(xiǎn)的國(guó)家擴(kuò)張使該公司的安全團(tuán)隊(duì)更擔(dān)心內(nèi)部流量。
DataShield公司的Praveen Money說(shuō),人們問(wèn)他們的主要問(wèn)題是攻擊是如何傳播的、被攻破了什么、與隱蔽攻擊有關(guān)的高級(jí)持續(xù)性威脅以及利用了什么安全漏洞。
IT-Harvest咨詢(xún)公司分析師Richard Stiennon是這個(gè)小組會(huì)的主持人。參加這個(gè)討論會(huì)的首席信息安全官似乎沒(méi)有一個(gè)人對(duì)大數(shù)據(jù)安全概念有很大熱情。IBM、惠普和RSA提出的大數(shù)據(jù)安全概念要求對(duì)大量的傳統(tǒng)的安全數(shù)據(jù)和包括人力資源的業(yè)務(wù)數(shù)據(jù)進(jìn)行分析。
Tosheff說(shuō),這不是數(shù)據(jù)量的問(wèn)題。不過(guò),他指出,eBay在X.commerce分公司采取的方法是使用人力資源和物理安全數(shù)據(jù)。我們知道一個(gè)人目前在國(guó)外。地理位置數(shù)據(jù)可幫助找到潛在的攻擊。他的團(tuán)隊(duì)提出的許多防御技術(shù)都是內(nèi)部開(kāi)發(fā)的。網(wǎng)絡(luò)中有“信標(biāo)”以便監(jiān)視入侵的攻擊,在作出回應(yīng)之前觀察發(fā)生了什么事情。
目前,這顯然是大數(shù)據(jù)安全為什么應(yīng)該成為更大的事情的原因。
