惠普安全顾问:大数据如何使黑客人赃俱获
ZDNet安全频道 发表于:13年05月27日 11:48 [转载] 至顶网
惠普安全负责人表示,企业目前的安全工作完全放错了位,他们只是一味关注如何阻止罪犯,而不是把精力集中于如何第一时间发现入侵者。
研究表明,企业86%的安全开支用于防止黑客入侵上,惠普高级副总裁兼企业安全产品总经理Art Gilliland说道。但入侵者潜入公司电脑以后,平均416天才会被发现。
“因此,这些不良分子一年到尾都在公司内,目前系统根本不足以发现它们。甚至公司还不是自己发现它们的;94%情况下都是由别人告诉它,”Gilliland说。
“想要驱逐这些坏分子还真是困难,因为一开始你就没意识到他们的存在。你根本不知道他们在哪里。你尝试修复被盗数据,但坏分子可能无所不在。他们究竟隐藏在哪里呢?我们最近的研究表明,相比2年前,现在需要71%的额外时间才能发现这些家伙,”他说。
入侵阶段
据Gilliland,答案就是停止把所有资源用于阻止入侵上,重新分配资源到各个入侵阶段。
“把每个入侵阶段都看做建立防御的立足点。我认为短期内最有希望实现的目标是,在对方入侵但尚未盗取数据时,第一时间将其擒拿,”他说。
Gilliland称,入侵过程可分为5个独立连锁阶段,该想法最初由Lockheed Martin提出。第一阶段是研究,也就是潜在入侵者研究系统和员工的阶段,由于员工们通常对Facebook情有独钟,该阶段对入侵者来说相对简单。
第二阶段为渗透,也就是罪犯入侵阶段。然后是第三阶段:发现,主要是通过探索内部环境以调查系统安全,并确定最敏感数据位置。第四阶段是捕获。
“90%情况下,入侵者盗取的都是智力财产或客户数据或某种信息。有时也伴随着明显的物理破坏,但很罕见,我记忆中,过去5到10年一共发生了3起物理破坏事件。蠕虫病毒,火焰病毒,一般就是这类型技术---通常都是网络战技术,而不是典型的犯罪,“Gilliland说。
最后的阶段就是渗出。“这是“清除数据”的花哨军事术语。入侵数据可以以电子加密的方式,通过43端口和SSL通信口输出- 那是很难发现的。或者,如果我知道市场营销组有很不错的客户数据,我也可以入侵并窃取几台笔记本电脑,“他说。
如果安全投资集中在入侵过程的第二阶段,那么企业将不可避免变得十分脆弱,尤其是在入侵者窃取前的第三阶段。
“如果你细细打量当今的入侵类型,你会发现,他们通常以损害用户认证信息的形式出现。他们偷走我的密码,然后模仿我的行为,所以你迫切希望找出这些非寻常行为,”Gilliland说。
“我做事有章可循,如果我表现异常时,你就应该好好调查一番了。”
为分析大数据而设的工具,就是用于此,Gilliland说。
“在安全性方面,我们研究大数据已经很长时间了。我们只是没有新工具。柱状数据库的构建, MapReduce以及一些新型技术的使用等,这些方法使得我们不仅能够整合技术数据,还可以整合用户和信息流数据,”他说。
“以前我们根本不可能做到这点,因为你将不得不消耗大量数据,等到系统成功制出所需数据后,就已经太晚了。”
运营团队的安全专业知识
然而,尽管大数据技术可助安全系统更快作出响应,但大多数企业面临的真正挑战在于,技术使用者和安全运营团队的专业知识是否能胜任。
“这些技术不像防火墙或杀毒等阻断技术,它们不能自动运行。这就好比车道上停着辆豪华跑车,汽油全满,车头灯也开着了 - 我们可以帮助你做到这点,我们可以帮忙部署,并把车放在那里,但如果你不上车,不驾驶它周游列国,那也是于事无补,“Gilliland说。
“是的,我们可以把它设计成自驾车,这样行驶起来更加便利,但该技术其实都很简单。如果你真想找到有能力的对手,那你要必须先学会开车,然后带上你的爱车去越野,但你必须要自己驾驶它啊!”