【新東網(wǎng)大數(shù)據(jù)】構(gòu)建基于大數(shù)據(jù)與威脅情報的企業(yè)安全保障體系

發(fā)布時間： 2017-03-15 11:37:52  

分享到：

文/邵元明 信息安全部

隨著互聯(lián)網(wǎng)安全形勢越來越嚴(yán)峻，企業(yè)面臨的安全風(fēng)險也越來越高，傳統(tǒng)的安全技術(shù)手段在面對復(fù)雜多變的安全攻擊時逐漸乏力，企業(yè)紛紛找尋新的出路，大數(shù)據(jù)技術(shù)的成熟與威脅情報概念的發(fā)展為新一代企業(yè)安全保障體系開啟了新的大門，數(shù)據(jù)驅(qū)動安全成為了行業(yè)流行的課題。

新東網(wǎng)科技作為互聯(lián)網(wǎng)與物聯(lián)網(wǎng)的運營商，運營維護著全國十余個省級運營商的電子渠道相關(guān)系統(tǒng)、多個智慧城市平臺并擁有著自己的互聯(lián)網(wǎng)金融應(yīng)用，對于攻擊者而言是非常有價值的攻擊目標(biāo)，每天都面臨著來自互聯(lián)網(wǎng)的大量攻擊?；诙嗄昱c網(wǎng)絡(luò)攻擊做斗爭的經(jīng)驗及新東網(wǎng)自身在大數(shù)據(jù)技術(shù)上的積累，新東網(wǎng)也摸索出了一套基于大數(shù)據(jù)與威脅情報的企業(yè)安全保障體系。

大數(shù)據(jù)的概念相信大家已經(jīng)耳熟能詳，那么什么是威脅情報，威脅情報與大數(shù)據(jù)在保障企業(yè)安全上又有怎樣的關(guān)系呢？

威脅情報作為一個正在發(fā)展的概念，目前尚未有統(tǒng)一的定義，但是在一些關(guān)鍵點上已經(jīng)有了廣泛的共識，SANS 研究院對威脅情報的定義是：針對安全威脅、威脅者、利用、惡意軟件、漏洞和危害指標(biāo)、所收集的用于評估的應(yīng)用的數(shù)據(jù)集，舉一個最簡單的例子，我們通常關(guān)注的安全漏洞信息就是非常典型的威脅情報。過去我們往往將關(guān)注集中在漏洞信息上，但威脅情報的內(nèi)容遠不止于此，新的攻擊手段、互聯(lián)網(wǎng)上發(fā)生的安全事件、甚至于惡意攻擊者本身的信息。比如某個黑客團體即將對企業(yè)展開攻擊，目的是盜取信息還是破壞系統(tǒng)，動機是非法獲利還是報復(fù)泄憤，常用的攻擊手法是什么，對企業(yè)而言都是需要關(guān)注的情報。

了解了威脅情報的基本概念，我們再來看安全大數(shù)據(jù)與威脅情報的關(guān)系。安全大數(shù)據(jù)通常包括企業(yè)的IT資產(chǎn)信息、系統(tǒng)運行狀態(tài)信息、系統(tǒng)及設(shè)備日志、應(yīng)用日志等，這些數(shù)據(jù)復(fù)雜而龐大，如果缺乏有效的分析思路和方法則難以產(chǎn)生對企業(yè)安全保障提供有效幫助的信息，而威脅情報概念的發(fā)展為解決這個問題提供了方向：一方面我們可以從安全大數(shù)據(jù)中提取威脅情報，進而采取針對性的應(yīng)對措施來提升企業(yè)的安全性。另一方面當(dāng)我們獲取了威脅情報后，也需要有強大的安全大數(shù)據(jù)平臺來支撐，才能有效地應(yīng)對。

下面，我們來看一下具體的應(yīng)用場景：

日志大數(shù)據(jù)與安全保障：新東網(wǎng)構(gòu)建了日志大數(shù)據(jù)平臺，將各業(yè)務(wù)系統(tǒng)相關(guān)的操作系統(tǒng)、數(shù)據(jù)庫、WEB應(yīng)用、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等日志進行統(tǒng)一收集，并基于威脅情報進行分析，根據(jù)結(jié)果進行事件響應(yīng)和策略優(yōu)化。例如，我們將SQL注入攻擊的攻擊特征作為基礎(chǔ)威脅情報輸入大數(shù)據(jù)平臺，對日志進行分析檢索，獲得近期對應(yīng)用發(fā)起SQL注入攻擊的語句類型（從大數(shù)據(jù)平臺提取出威脅情報），并根據(jù)獲得的特征優(yōu)化我們應(yīng)用的過濾規(guī)則。又如，我們將暴力破解攻擊的行為特征（大量登錄失敗后突然登錄成功）作為威脅情報輸入大數(shù)據(jù)平臺，當(dāng)平臺發(fā)現(xiàn)日志中存在連續(xù)大量登錄失敗日志后突然有一條登錄成功日志，則認為攻擊者可能成功實施了暴力破解攻擊，我們應(yīng)該立即響應(yīng)（傳統(tǒng)的系統(tǒng)日志只能知道攻擊者在進行攻擊，并不能判斷攻擊是否成功，在海量數(shù)據(jù)的情況下無法作為啟動響應(yīng)的決策依據(jù)）。

資產(chǎn)大數(shù)據(jù)與安全保障：新東網(wǎng)構(gòu)建了資產(chǎn)大數(shù)據(jù)平臺，對公司所有IT資產(chǎn)的指紋進行詳細的記錄，包括操作系統(tǒng)類型及版本、數(shù)據(jù)庫類型版本、中間件類型類型版本、域名、IP地址、端口號、業(yè)務(wù)類型、應(yīng)用程序版本、編程語言、框架等信息（我們稱之為資產(chǎn)的指紋信息），這些信息通過大數(shù)據(jù)平臺維護并自動化的收集和更新，每當(dāng)獲取新的漏洞信息時我們可以通過大數(shù)據(jù)平臺快速檢索可能受到影響的資產(chǎn)，快速啟動漏洞修復(fù)工作并追蹤修復(fù)結(jié)果，最大程度降低安全漏洞爆發(fā)帶來的業(yè)務(wù)風(fēng)險。這套系統(tǒng)在我們應(yīng)對JAVA反序列化漏洞、struts2、ImageTragick、Dirty Cow等近兩年爆發(fā)的重大安全漏洞的過程中起到了重要的作用。

業(yè)務(wù)大數(shù)據(jù)與安全保障：對于互聯(lián)網(wǎng)企業(yè)和應(yīng)用而言，業(yè)務(wù)層面的攻擊是當(dāng)前面臨的重要問題，例如智慧福州APP在上線和多次活動期間都遭到了大量惡意攻擊者通過惡意注冊賬號進行刷單等方式進行攻擊，對此新東網(wǎng)迅速建立了業(yè)務(wù)安全大數(shù)據(jù)系統(tǒng)，建立賬號信譽機制，對于有惡意行為的賬號進行信譽懲罰和嚴(yán)格的風(fēng)險策略，達到一定分?jǐn)?shù)后加入黑名單，同時也積極與大型的安全企業(yè)和互聯(lián)網(wǎng)企業(yè)對接互換威脅情報（如惡意賬號黑名單），較好的遏制了“羊毛黨”惡意刷單等業(yè)務(wù)攻擊行為。此外，新東網(wǎng)還將改技術(shù)進行拓展并應(yīng)用于防詐騙領(lǐng)域，目前與福州電信等運營商客戶共同研究詐騙電話攔截的解決方案。

基于這些大數(shù)據(jù)與威脅情報的技術(shù)與應(yīng)用，新東網(wǎng)構(gòu)建了良好的企業(yè)安全保障體系，在很好地保障企業(yè)自身安全的同時也為客戶提供了技術(shù)支撐。不僅如此，為了更好的獲取威脅情報和保障企業(yè)安全，新東網(wǎng)還建立了信息安全技術(shù)社區(qū)漏斗社區(qū)，聚集了業(yè)內(nèi)大量安全企業(yè)、互聯(lián)網(wǎng)企業(yè)、政企單位一線的安全技術(shù)人員，并通過論壇、社交軟件、定期組織安全沙龍等方式促進大家溝通交流，方便大家互換威脅情報、交流安全技術(shù)，互相協(xié)同為創(chuàng)造更加安全的互聯(lián)網(wǎng)環(huán)境盡一份力量。