科技與時俱進(jìn)，網(wǎng)路犯罪、滲透、竊盜手法也不斷精進(jìn)翻新，特制的惡意軟體可以輕松躲過偵測，進(jìn)入企業(yè)盜取資訊如入無人之境，傳統(tǒng)的安全軟件工具頓時失去用武之地。

難道我們只能坐以待斃?當(dāng)然不是。安全業(yè)者手中還握著一項(xiàng)打擊網(wǎng)路安全犯罪的利器，那就是大數(shù)據(jù)(Big Data)!

根據(jù)Wiki，大數(shù)據(jù)在2009年開始成為網(wǎng)絡(luò)熱門用語，火紅程度不輸云端，指的是所涉及的資料量規(guī)模巨大到無法透過目前主流軟件工具處理，而此技術(shù)可在合理時間內(nèi)達(dá)到擷取、管理、處理、并整理大量數(shù)據(jù)，更積極幫??助企業(yè)取得達(dá)成經(jīng)營決策目的資訊。

不過可別以為大數(shù)據(jù)只能處理大量資料，一經(jīng)活用，它可以成為網(wǎng)路罪犯的照妖鏡!

凡走過必留下痕跡

這些所謂的進(jìn)階攻擊(Advanced Threat)有項(xiàng)致命弱點(diǎn)，它們就像習(xí)慣在兇案現(xiàn)場留下個人記號的慣犯，攻擊活動會在一般使用者資料物件或IP位址中產(chǎn)生異常值，只要能揪出這些異常值就可以挫敗這些攻擊活動。

要找出異常就得仰賴大數(shù)據(jù)的幫忙。首先，必須找到方法聚集IT設(shè)備產(chǎn)生的數(shù)據(jù)和紀(jì)錄，舉凡防火墻、防毒、入侵偵測軟件的數(shù)據(jù)到視窗、電郵、網(wǎng)絡(luò)、網(wǎng)域名稱等非安全類的數(shù)據(jù)都要算在內(nèi)，這些數(shù)據(jù)具有巨量(volume)、即時(velocity)、多樣(variety)特性，計(jì)量單位更以兆兆位元組(Terabyte)計(jì)算，傳統(tǒng)數(shù)據(jù)儲存根本無法處理，這時只能求助大數(shù)據(jù)了。

除此之外，防御方還需要能夠即時進(jìn)一步串連和分析數(shù)據(jù)，才能抽絲剝繭讓那些披著羊皮攻擊無所遁形。

壞消息是，握有這些數(shù)據(jù)后能否參悟其中玄機(jī)那又是另一門課題了，這些惡意攻擊不循常規(guī)也沒也固定模式，要想克敵制勝只能“設(shè)身處地”問自己“如果我是罪犯會怎么做?”

舉例，如果你的電腦收到不明郵件和不明連結(jié)，又或者是網(wǎng)域名流量異常暴增，請?zhí)岣呔X，因?yàn)槟憧赡芤呀?jīng)受到釣魚攻擊(Phishing)或滲透。

大數(shù)據(jù)平臺降臨

傳統(tǒng)的安全資訊及事件管理(SIEM)產(chǎn)品效能非常有限，無法準(zhǔn)確快速的找出IT 系統(tǒng)和基礎(chǔ)結(jié)構(gòu)中的異常值，好在這幾年已有企業(yè)打造出嶄新的大數(shù)據(jù)安全平臺，不必曠時費(fèi)日，幾分鐘內(nèi)便可解決問題和偵測安全事件，Splunk 與Hadoop就是這種情報軟體的領(lǐng)頭羊。

大數(shù)據(jù)平臺在2013年將如雨后春筍冒出，其用途廣泛不受限于偵測網(wǎng)路攻擊，還可應(yīng)用在鑒識、案件調(diào)查和詐欺偵查等，有了平臺上建置搜尋用的快速索引，與其他用途相輔相成，它的出色特性讓我們不再只有挨打的份。大數(shù)據(jù)技術(shù)將帶來不同光景，值得期待。