RSA:业务智能也是一种安全智能

RSA副总裁、首席信息安全官Eddie Schwartz认为,企业正守着一个丰富的、但却被浪费的分析数据资源,而这些数据本可以用于提前警告在线攻击上。

Schwartz在接受ZDNet记者采访时表示,虽然日志、监控、防火墙和其他外围防御措施可以为企业提供丰富的信息,但是大多数是在出现故障之后使用的,攻击者已经获得了对他们网络访问的途径。

Schwartz问:“如今,大多数企业机构并没有对业务数据进行分析。他们从Windows服务器、防火墙和网络设备中得到安全日志,但是这些是否能告诉我在SAP系统上的一次交易是否有效?电子商务交易是否有效?”

Schwartz认为,提取来自服务器和网络设备的日志通常是纯粹的技术原因,大约20年前,很多管理员意识到他们之间有某种安全相关性。然而,他提出疑问,为什么企业将他们认为相关的安全信息与限制于这些日志,以及目前正在使用的各种安全信息和时间管理系统。

他说:“从安全日志中我们能看到的信息面是非常非常狭窄的,毕竟这不是业务数据。”

他呼吁更广泛地使用那行并不是以安全为重点的数据。事实上,他表示,这种类型的信心甚至没有必要一定是可识别的。

“让我们从集成所有信息开始,其中包括所有内容和不同类型动作的上下文,它是网络流量还是电子邮件。我们不用了解它是什么,但是它的确存在,而且是网络流量的一部分。”

收集这些信息的要点,在于构建一套针对业务的配置,能够迅速找出可能在攻击过程中出现的任何变化。

“据统计,这种配置对于企业机构来说就像是独一无二的指纹一样,而且对于一套业务流程甚至对于用户群组来说都是独特的。”

要想达到使用更多业务数据的阶段,不需要一个大规模的项目。我们可能会看到这样的厂商,企业系统逐渐将他们的数据转换成为一个类似大数据的信息系统,而且他相信,企业会不断投资以推动这个转变的过程。这将意味着,帮助企业了解为什么需要这种转变,谨慎地考虑最先应该获取哪些数据。

Schwartz表示,他并不认为所有人都能判断什么是最完美的模式。很多企业可能会选择使用有更多管理安全的服务,或者结合使用内部技术与其他服务提供商的服务。

“其他企业机构更多地正在进入一种混合的模式,允许服务提供商去做某些特定的事情,但是有些事情是他们自己必须要做的,不仅因为敏感性,而且还因为他们感觉只有他们才真正了解自己的业务。”

大数据可以用于向管理员提醒潜在的违规行为,或者正在发生的违规行为,另一方面,自动化这些系统将有助于创建自主防御的网络。不过,Schwartz认为要实现这个梦想还要很长一段时间。

“对于能够采取措施防止糟糕的事情发生的技术来说,它需要掌握指纹和业务的独特身份。这实现起来很难而且很复杂。”他这样说道,并且强调说,一旦各种威胁加速到一定程度上,可能需要由一些能够自我学习的计算机来实现这个目标。

“我的意思并不是说这是不可能实现的。我的意思是,由于数据量和所需处理能力,尤其是网络愈加接近于光速,我们正在离这个目标越来越远。”

即使这一天真的到来,企业可以使用所有信息去自动防御攻击者,他相信人们仍然需要信息安全专家的帮助。

“有某些关键的服务和关键的事情让技术与他们联系在一起,我希望人们可以参与其中掌握控制权。”