這年頭,凡事不和大數(shù)據(jù)掛鉤,都不好意思出門了。
網(wǎng)絡安全也是,但是這次不僅是掛鉤這么簡單,人家還是有調(diào)查數(shù)據(jù)顯示兩者之間的關系的。
8月,為了了解網(wǎng)絡安全大數(shù)據(jù)分析的現(xiàn)狀、基于網(wǎng)絡安全應用的Apache hadoop1與網(wǎng)絡安全大數(shù)據(jù)分析之間的關系,安全研究中心 Ponemon Institute發(fā)布了一份《大數(shù)據(jù)網(wǎng)絡安全分析研究報告》,該研究項目由大數(shù)據(jù)公司Cloudera出資贊助。
在這項研究中,Ponemon Institute采訪了592位美國IT及IT安全從業(yè)人士,10位網(wǎng)絡安全技術高管,他們所在的企業(yè)和組織都已經(jīng)建立了Apache Hadoop應用。所有受訪者都是某種形式的大數(shù)據(jù)分析工具的使用者,部分參與者是Apache Hadoop平臺的用戶。
Apache Hadoop是一套用于在由通用硬件構(gòu)建的大型集群上運行應用程序的框架。它實現(xiàn)了Map/Reduce編程范型,計算任務會被分割成小塊(多次)運行在不同的節(jié)點上。除此之外,它還提供了一款分布式文件系統(tǒng)(HDFS),數(shù)據(jù)被存儲在計算節(jié)點上以提供極高的跨數(shù)據(jù)中心聚合帶寬。
Ponemon Institute的創(chuàng)始人Larry Ponemon認為,涌入企業(yè)環(huán)境的數(shù)據(jù)包含十分有價值的信息,可用于識別和減輕威脅,但在許多情況下,推斷它對任何事情都有益還是太武斷了,首次報告不僅表明企業(yè)和組織知道他們有這些信息可以對抗先進的威脅,也表明當數(shù)據(jù)與分析工具正確結(jié)合應用時,可降低整個企業(yè)或組織的風險。
88%受訪者:大數(shù)據(jù)重要
參與這項調(diào)查的企業(yè)大部分有相當成熟的網(wǎng)絡安全項目。70%的受訪者表示,他們有許多中后期網(wǎng)絡安全計劃活動部署或成熟階段的網(wǎng)絡安全計劃活動部署。
根據(jù)上述研究,使用大數(shù)據(jù)分析方法偵查偏離良好行為的企業(yè)和組織可在幾小時甚至幾分鐘內(nèi)確認安全事件,而且這一概率是不使用者的2.25倍。Apache Hadoop的用戶發(fā)現(xiàn),分析網(wǎng)絡安全事件的還有幾個重要意義。
72%的受訪者認為,大數(shù)據(jù)分析在偵測前沿網(wǎng)絡威脅上十分重要;
72%的受訪者認為,使用大數(shù)據(jù)分析及傳統(tǒng)技術手段,可能可以走在高級威脅的前面;
65%的受訪者認為,大數(shù)據(jù)對營造和保障超強網(wǎng)絡安全態(tài)勢十分必要。
下圖是受訪者對于“大數(shù)據(jù)分析到底對網(wǎng)絡安全是何種程度的重要”這一問題的態(tài)度。嗯,88%的人都表態(tài)“重要”。
大數(shù)據(jù),越用越想用
大數(shù)據(jù)分析工具的重度用戶比輕度用戶更有信心來檢測網(wǎng)絡事故。對于常見的11種網(wǎng)絡威脅,大數(shù)據(jù)分析工具的重度用戶和輕度用戶對自己處理起來的水平和能力也有不同認知。最大的鴻溝在以下幾個領域:檢測前沿惡意軟件/勒索,受損設備(例如,憑據(jù)盜竊),零日攻擊和惡意內(nèi)部攻擊。最小的差距在以下領域:拒絕服務,基于網(wǎng)絡的攻擊和矛式網(wǎng)絡釣魚/社會工程。
大數(shù)據(jù)分析工具居然是越用越想用。調(diào)查顯示,61%的輕度用戶受訪者表示,需求增長顯著,而75%的重度用戶受訪者表示,需求增長更顯著。
調(diào)查:在過去12個月中,把大數(shù)據(jù)分析工具用于網(wǎng)絡安全,你對此的需求是?
大數(shù)據(jù),不是你想用就能用
大數(shù)據(jù)分析雖然用于網(wǎng)絡安全接受度頗高,但是,調(diào)查顯示,還是有多重因素阻礙你用大數(shù)據(jù)。比如,下圖揭示了哪些因素阻礙大數(shù)據(jù)分析用于網(wǎng)絡安全。
從上到下的因素依次為:缺乏內(nèi)部專業(yè)知識、技術不足、資源不足、高管對網(wǎng)絡安全是重大風險認識不足、和其他部門缺乏合作、不懂如何應對網(wǎng)絡攻擊、不是優(yōu)先級事件、缺乏領導力、其他。
說了這么多大數(shù)據(jù)如何如何,為了保障網(wǎng)絡安全,頂尖技術到底應該有什么特征呢?
調(diào)查:以下為最有前途的技術特征排序
從上到下的因素依次為:提供應用到安全數(shù)據(jù)的機器學習、提供用戶行為分析(UBA)、提供針對威脅和攻擊的預先警告、提供有關薄弱點或漏洞的智力支持、提供針對網(wǎng)絡攻擊的網(wǎng)絡分析、盡量減少內(nèi)部人的威脅(包括疏忽)、提供用戶網(wǎng)絡流量分析、優(yōu)先威脅,漏洞和攻擊、限制未經(jīng)授權(quán)的訪問和/或共享敏感或機密數(shù)據(jù)、防止不安全的設備訪問安全系統(tǒng)、啟用有效的恢復操作、簡化威脅報告、安全端點包括移動連接設備、啟用自適應外圍控制、減少或消除惡意軟件進入網(wǎng)絡、啟用高效的補丁管理、減緩甚至阻止攻擊者的電腦、預先消滅DoS攻擊。