国产精品亚洲成在人线_又大又粗又猛免费视频_国产免费福利在线视频_美女禁区A级全片免费观看

【新東網(wǎng)大數(shù)據(jù)】構(gòu)建基于大數(shù)據(jù)與威脅情報(bào)的企業(yè)安全保障體系

發(fā)布時(shí)間： 2017-03-15 11:37:52  

分享到：

文/邵元明 信息安全部

隨著互聯(lián)網(wǎng)安全形勢(shì)越來越嚴(yán)峻，企業(yè)面臨的安全風(fēng)險(xiǎn)也越來越高，傳統(tǒng)的安全技術(shù)手段在面對(duì)復(fù)雜多變的安全攻擊時(shí)逐漸乏力，企業(yè)紛紛找尋新的出路，大數(shù)據(jù)技術(shù)的成熟與威脅情報(bào)概念的發(fā)展為新一代企業(yè)安全保障體系開啟了新的大門，數(shù)據(jù)驅(qū)動(dòng)安全成為了行業(yè)流行的課題。

新東網(wǎng)科技作為互聯(lián)網(wǎng)與物聯(lián)網(wǎng)的運(yùn)營商，運(yùn)營維護(hù)著全國十余個(gè)省級(jí)運(yùn)營商的電子渠道相關(guān)系統(tǒng)、多個(gè)智慧城市平臺(tái)并擁有著自己的互聯(lián)網(wǎng)金融應(yīng)用，對(duì)于攻擊者而言是非常有價(jià)值的攻擊目標(biāo)，每天都面臨著來自互聯(lián)網(wǎng)的大量攻擊?；诙嗄昱c網(wǎng)絡(luò)攻擊做斗爭的經(jīng)驗(yàn)及新東網(wǎng)自身在大數(shù)據(jù)技術(shù)上的積累，新東網(wǎng)也摸索出了一套基于大數(shù)據(jù)與威脅情報(bào)的企業(yè)安全保障體系。

大數(shù)據(jù)的概念相信大家已經(jīng)耳熟能詳，那么什么是威脅情報(bào)，威脅情報(bào)與大數(shù)據(jù)在保障企業(yè)安全上又有怎樣的關(guān)系呢？

威脅情報(bào)作為一個(gè)正在發(fā)展的概念，目前尚未有統(tǒng)一的定義，但是在一些關(guān)鍵點(diǎn)上已經(jīng)有了廣泛的共識(shí)，SANS 研究院對(duì)威脅情報(bào)的定義是：針對(duì)安全威脅、威脅者、利用、惡意軟件、漏洞和危害指標(biāo)、所收集的用于評(píng)估的應(yīng)用的數(shù)據(jù)集，舉一個(gè)最簡單的例子，我們通常關(guān)注的安全漏洞信息就是非常典型的威脅情報(bào)。過去我們往往將關(guān)注集中在漏洞信息上，但威脅情報(bào)的內(nèi)容遠(yuǎn)不止于此，新的攻擊手段、互聯(lián)網(wǎng)上發(fā)生的安全事件、甚至于惡意攻擊者本身的信息。比如某個(gè)黑客團(tuán)體即將對(duì)企業(yè)展開攻擊，目的是盜取信息還是破壞系統(tǒng)，動(dòng)機(jī)是非法獲利還是報(bào)復(fù)泄憤，常用的攻擊手法是什么，對(duì)企業(yè)而言都是需要關(guān)注的情報(bào)。

了解了威脅情報(bào)的基本概念，我們?cè)賮砜窗踩髷?shù)據(jù)與威脅情報(bào)的關(guān)系。安全大數(shù)據(jù)通常包括企業(yè)的IT資產(chǎn)信息、系統(tǒng)運(yùn)行狀態(tài)信息、系統(tǒng)及設(shè)備日志、應(yīng)用日志等，這些數(shù)據(jù)復(fù)雜而龐大，如果缺乏有效的分析思路和方法則難以產(chǎn)生對(duì)企業(yè)安全保障提供有效幫助的信息，而威脅情報(bào)概念的發(fā)展為解決這個(gè)問題提供了方向：一方面我們可以從安全大數(shù)據(jù)中提取威脅情報(bào)，進(jìn)而采取針對(duì)性的應(yīng)對(duì)措施來提升企業(yè)的安全性。另一方面當(dāng)我們獲取了威脅情報(bào)后，也需要有強(qiáng)大的安全大數(shù)據(jù)平臺(tái)來支撐，才能有效地應(yīng)對(duì)。

下面，我們來看一下具體的應(yīng)用場(chǎng)景：

日志大數(shù)據(jù)與安全保障：新東網(wǎng)構(gòu)建了日志大數(shù)據(jù)平臺(tái)，將各業(yè)務(wù)系統(tǒng)相關(guān)的操作系統(tǒng)、數(shù)據(jù)庫、WEB應(yīng)用、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等日志進(jìn)行統(tǒng)一收集，并基于威脅情報(bào)進(jìn)行分析，根據(jù)結(jié)果進(jìn)行事件響應(yīng)和策略優(yōu)化。例如，我們將SQL注入攻擊的攻擊特征作為基礎(chǔ)威脅情報(bào)輸入大數(shù)據(jù)平臺(tái)，對(duì)日志進(jìn)行分析檢索，獲得近期對(duì)應(yīng)用發(fā)起SQL注入攻擊的語句類型（從大數(shù)據(jù)平臺(tái)提取出威脅情報(bào)），并根據(jù)獲得的特征優(yōu)化我們應(yīng)用的過濾規(guī)則。又如，我們將暴力破解攻擊的行為特征（大量登錄失敗后突然登錄成功）作為威脅情報(bào)輸入大數(shù)據(jù)平臺(tái)，當(dāng)平臺(tái)發(fā)現(xiàn)日志中存在連續(xù)大量登錄失敗日志后突然有一條登錄成功日志，則認(rèn)為攻擊者可能成功實(shí)施了暴力破解攻擊，我們應(yīng)該立即響應(yīng)（傳統(tǒng)的系統(tǒng)日志只能知道攻擊者在進(jìn)行攻擊，并不能判斷攻擊是否成功，在海量數(shù)據(jù)的情況下無法作為啟動(dòng)響應(yīng)的決策依據(jù)）。

資產(chǎn)大數(shù)據(jù)與安全保障：新東網(wǎng)構(gòu)建了資產(chǎn)大數(shù)據(jù)平臺(tái)，對(duì)公司所有IT資產(chǎn)的指紋進(jìn)行詳細(xì)的記錄，包括操作系統(tǒng)類型及版本、數(shù)據(jù)庫類型版本、中間件類型類型版本、域名、IP地址、端口號(hào)、業(yè)務(wù)類型、應(yīng)用程序版本、編程語言、框架等信息（我們稱之為資產(chǎn)的指紋信息），這些信息通過大數(shù)據(jù)平臺(tái)維護(hù)并自動(dòng)化的收集和更新，每當(dāng)獲取新的漏洞信息時(shí)我們可以通過大數(shù)據(jù)平臺(tái)快速檢索可能受到影響的資產(chǎn)，快速啟動(dòng)漏洞修復(fù)工作并追蹤修復(fù)結(jié)果，最大程度降低安全漏洞爆發(fā)帶來的業(yè)務(wù)風(fēng)險(xiǎn)。這套系統(tǒng)在我們應(yīng)對(duì)JAVA反序列化漏洞、struts2、ImageTragick、Dirty Cow等近兩年爆發(fā)的重大安全漏洞的過程中起到了重要的作用。

業(yè)務(wù)大數(shù)據(jù)與安全保障：對(duì)于互聯(lián)網(wǎng)企業(yè)和應(yīng)用而言，業(yè)務(wù)層面的攻擊是當(dāng)前面臨的重要問題，例如智慧福州APP在上線和多次活動(dòng)期間都遭到了大量惡意攻擊者通過惡意注冊(cè)賬號(hào)進(jìn)行刷單等方式進(jìn)行攻擊，對(duì)此新東網(wǎng)迅速建立了業(yè)務(wù)安全大數(shù)據(jù)系統(tǒng)，建立賬號(hào)信譽(yù)機(jī)制，對(duì)于有惡意行為的賬號(hào)進(jìn)行信譽(yù)懲罰和嚴(yán)格的風(fēng)險(xiǎn)策略，達(dá)到一定分?jǐn)?shù)后加入黑名單，同時(shí)也積極與大型的安全企業(yè)和互聯(lián)網(wǎng)企業(yè)對(duì)接互換威脅情報(bào)（如惡意賬號(hào)黑名單），較好的遏制了“羊毛黨”惡意刷單等業(yè)務(wù)攻擊行為。此外，新東網(wǎng)還將改技術(shù)進(jìn)行拓展并應(yīng)用于防詐騙領(lǐng)域，目前與福州電信等運(yùn)營商客戶共同研究詐騙電話攔截的解決方案。

基于這些大數(shù)據(jù)與威脅情報(bào)的技術(shù)與應(yīng)用，新東網(wǎng)構(gòu)建了良好的企業(yè)安全保障體系，在很好地保障企業(yè)自身安全的同時(shí)也為客戶提供了技術(shù)支撐。不僅如此，為了更好的獲取威脅情報(bào)和保障企業(yè)安全，新東網(wǎng)還建立了信息安全技術(shù)社區(qū)漏斗社區(qū)，聚集了業(yè)內(nèi)大量安全企業(yè)、互聯(lián)網(wǎng)企業(yè)、政企單位一線的安全技術(shù)人員，并通過論壇、社交軟件、定期組織安全沙龍等方式促進(jìn)大家溝通交流，方便大家互換威脅情報(bào)、交流安全技術(shù)，互相協(xié)同為創(chuàng)造更加安全的互聯(lián)網(wǎng)環(huán)境盡一份力量。