可以說這樣老式的傳統(tǒng)的IT架構(gòu)下，它已經(jīng)到了非改不可的地步，我們應(yīng)該要有一個(gè)什么樣的防御體系呢？總的來說四點(diǎn)，漏洞要提前發(fā)現(xiàn)，攻擊要事先預(yù)測(cè)，攻擊發(fā)生的時(shí)候要能夠及時(shí)地阻斷，攻擊結(jié)束后能夠追根溯源。說得很好，但怎么樣能做到？這是我畫的一個(gè)簡(jiǎn)單的框架，我認(rèn)為需要記錄一個(gè)全量的數(shù)據(jù)，至少要包括流量數(shù)據(jù)，比如流量大小、攻擊日志、Web日志等等，對(duì)于異常登陸要詳細(xì)到什么程度，詳細(xì)到登陸的時(shí)間、目標(biāo)的服務(wù)器、使用什么樣的用戶名、什么樣的密碼，這些全量的數(shù)據(jù)匯聚到一個(gè)安全中心，結(jié)合威脅情報(bào)中心進(jìn)行大數(shù)據(jù)的分析，這個(gè)威脅情報(bào)中心包含病毒庫(kù)、漏洞庫(kù)、同行業(yè)的事件庫(kù)、黑客庫(kù)、被泄露人員的信息庫(kù)，被泄露人員是高危的弱勢(shì)群體，很容易成為防御的短板。這些數(shù)據(jù)匯聚拉通后將解決信息孤島的問題，有了這些基礎(chǔ)就能展示以下這些安全能力，給黑客的畫像、攻擊的預(yù)測(cè)，做到對(duì)攻擊的預(yù)測(cè)、對(duì)攻擊的阻斷、對(duì)事后的溯源，反過來能指導(dǎo)防御的改進(jìn)。

剛才講了DT安全框架，里面有兩個(gè)關(guān)鍵點(diǎn)，一個(gè)是大數(shù)據(jù)分析平臺(tái)，另外一個(gè)是全量的數(shù)據(jù)。常規(guī)的安全防御大多是基于一個(gè)規(guī)則和特征的匹配，單設(shè)備發(fā)現(xiàn)了攻擊發(fā)送到日志主機(jī)，日志主機(jī)主要是做存儲(chǔ)展示審計(jì)的作用，這對(duì)已知威脅是有用的，但是對(duì)于未知的威脅，像比較復(fù)雜的APT攻擊他就沒辦法做到。怎么識(shí)別這樣的攻擊，這是整個(gè)問題的關(guān)鍵，要做到收集海量數(shù)據(jù)。一個(gè)有經(jīng)驗(yàn)的警察能夠很快地判斷出一個(gè)人是不是小偷，他能夠做出鬼鬼祟祟的定性判斷的詞語，這樣的詞語是根據(jù)規(guī)則和特征庫(kù)，類似于監(jiān)視器、檢測(cè)儀這樣的東西是檢測(cè)不出來的，必須要根據(jù)后面警察的經(jīng)驗(yàn)，他的經(jīng)驗(yàn)實(shí)際就是一個(gè)數(shù)據(jù)分析。

舉個(gè)例子說，警察剛從警校出來就得到了一個(gè)已知的特征庫(kù)，他開始接道不同的案子，接到各種報(bào)案，他開始去分析，這就是一個(gè)分析的過程，他的經(jīng)驗(yàn)越來越多，他就有了一些預(yù)判的能力，他和其他的警察進(jìn)行交流實(shí)際是數(shù)據(jù)的共享和交換，最后他成為一個(gè)非常有經(jīng)驗(yàn)的老警察，他把他的經(jīng)驗(yàn)寫成教材輸出給新的警察在警校里使用，這樣他完成了數(shù)據(jù)安全能力的轉(zhuǎn)化，其實(shí)這就是大數(shù)據(jù)分析能力的轉(zhuǎn)化輸出。警察如果不這樣去自我更新的話，他就會(huì)抓不到賊，同樣一個(gè)安全人員，一個(gè)安全的防御體系，如果不具備自我完善的能力的話，他也是防不住黑客的。

低級(jí)安全能力的轉(zhuǎn)化基于對(duì)大數(shù)據(jù)的分析，可以輸出一個(gè)新的安全能力，能夠?qū)μ卣鲙?kù)和行為庫(kù)進(jìn)行總結(jié)?，F(xiàn)在各個(gè)廠家都有自己的特征庫(kù)的維護(hù)團(tuán)隊(duì)，他們維護(hù)的時(shí)候是作為產(chǎn)品的輔助銷售或者增值的業(yè)務(wù)在銷售，但實(shí)際上他們?cè)谡硖卣鲙?kù)的時(shí)候經(jīng)常會(huì)發(fā)生整理、收集、發(fā)布非常滯后，用戶沒有辦法得到及時(shí)的更新，這樣不僅是資源的浪費(fèi)，對(duì)用戶來說是潛在的安全風(fēng)險(xiǎn)。應(yīng)該把這樣的自我完善能力，這種轉(zhuǎn)換能力進(jìn)行常態(tài)化、標(biāo)準(zhǔn)化，這將重新定義DT的能力極限。

DT安全架構(gòu)下傳統(tǒng)的安全分析平臺(tái)已經(jīng)遇到了一個(gè)瓶頸，第一是數(shù)據(jù)越來越大，有多元化的數(shù)據(jù)，有結(jié)構(gòu)化的非結(jié)構(gòu)化的，有日志有業(yè)務(wù)信息，甚至還有一些外部的情報(bào)信息，但是我們常規(guī)的安全設(shè)備沒辦法存儲(chǔ)這樣的海量數(shù)據(jù)，它的計(jì)算能力也沒辦法具備大數(shù)據(jù)分析的計(jì)算能力。曾經(jīng)有一個(gè)搞運(yùn)維的朋友跟我說他以前做日志維護(hù)的時(shí)候，有80%的精力都在收集、整理和處理日志格式的工作，只有20%的精力考慮分析審計(jì)這些日志數(shù)據(jù)。以金融為例，常規(guī)的IT架構(gòu)下制成的銀行每分鐘的交易峰值在30萬筆，數(shù)據(jù)存儲(chǔ)在TB級(jí)，但是DT支撐下的金融每分鐘是270萬筆，而且它的數(shù)據(jù)存儲(chǔ)量是EB級(jí)。由此可以看出常規(guī)的安全是以設(shè)備為單位的能力極限，每一臺(tái)設(shè)備的計(jì)算和存儲(chǔ)能力都是非常有限的，根本沒法滿足這樣的大容量，DT下面的安全能力，它只能解決局部的條條塊塊的問題。

我們說DT安全需要進(jìn)行大數(shù)據(jù)的分析，這個(gè)大平臺(tái)里全量數(shù)據(jù)要進(jìn)行采集，泄露的人員數(shù)據(jù)庫(kù)要通過網(wǎng)絡(luò)爬蟲去采集，采集完了之后還要清洗，剔除重復(fù)數(shù)據(jù)冗余數(shù)據(jù)，進(jìn)行語義一致的分析，加工、數(shù)據(jù)分析挖掘、算法選擇、模型選擇等等大數(shù)據(jù)的操作過程，這一系列的要求決定了DT安全的基本能力，那就是必須要具備云計(jì)算的能力和海量存儲(chǔ)的能力。DT的安全是以平臺(tái)為單位的架構(gòu)，把成千上萬的云計(jì)算能力結(jié)合在一起，匯集起來的云計(jì)算，去解決貫穿全局的問題，用大數(shù)據(jù)技術(shù)去整合挖掘和分析。這樣的一個(gè)能力極限將會(huì)是DT安全最基本的能力要求。我一直認(rèn)為我們?cè)瓉沓Ｒ?guī)的安全其實(shí)是最基礎(chǔ)的保障，它就像圍墻、攝像頭、監(jiān)控器、門禁這樣的設(shè)備，沒有它是不行的，區(qū)域隔離、訪問控制和會(huì)話檢測(cè)這樣的老三樣是不能丟的，它是最基礎(chǔ)的，但是現(xiàn)在黑客實(shí)際上已經(jīng)升級(jí)了，升級(jí)成黃金圣斗士，但我們還在原地踏步。

 2/3   首頁(yè) 上一頁(yè) 1 2 3 下一頁(yè) 尾頁(yè)