乐趣区

关于安全:大数据安全分析的几个要点

当初,很多行业都曾经开始利用大数据来进步销售,降低成本,精准营销等等。然而,其实大数据在网络安全与信息安全方面也有很长足的利用。特地是利用大数据来甄别和发现危险和破绽。

明天,网络环境极为简单,APT 攻打以及其余一些网络攻击能够通过对从不同数据源的数据的搜寻和剖析来对平安威逼加以甄别,要做到这一点,就须要对一系列数据源的进行监控,包含 DNS 数据,命令与管制(C2),黑白名单等。

企业针对平安的大数据分析,上面是一些要点:

DNS 数据

DNS 数据可能提供一系列新注册域名,常常用来进行垃圾信息发送的域名,以及新创建的域名等等,所有这些信息都能够和黑白名单联合起来,所有这些数据都应该收集起来做进一步剖析。

如果自有 DNS 服务器,就能过查看那些对外的域名查问,这样可能发现一些无奈解析的域名。这种状况就可能意味着你检测到了一个“域名生成算法”. 这样的信息就可能让平安团队对公司网络进行爱护。而且如果对局域网流量数据日志进行剖析的话,就有可能找到对应的受到攻打的机器。

命令与管制(C2)零碎

把命令与控制数据联合进来能够失去一个 IP 地址和域名的黑名单。对于公司网络来说,网络流量相对不应该流向那些已知的命令与控制系统。如果网络安全人员要认真考察网络攻击的话,能够把来自 C2 零碎的流量疏导到公司设好的“蜜罐”机器下来。

平安威逼情报

有一些相似与网络信用的数据源能够用来断定一个地址是否是平安的。有些数据源提供“是”与“否”的断定,有的还提供一些对于威逼等级的信息。网络安全人员可能依据他们可能承受的危险大小来决定某个地址是否应该拜访。

网络流量日志

有很多厂商都提供记录网络流量日志的工具(如德迅云平安的日志审计)。在利用流量日志来剖析平安威逼的时候,人们很容易被吞没在大量的“乐音”数据中。不过流量日志仍然是平安剖析的根本要求。有一些好的算法和软件可能帮忙人们提供剖析品质。

“蜜罐”数据

“蜜罐”(如德迅云平安的德迅猎鹰(云蜜罐))能够无效地检测针对特定网络的恶意软件。此外,通过“蜜罐”取得的恶意软件能够通过剖析取得其特色码,从而进一步监控网络中其余设施的感化状况。这样的信息是十分有价值的,尤其是很多 APT 攻打所采纳的定制的恶意代码往往无奈被惯例防病毒软件所发现。

数据品质很重要

最初,企业要留神数据的品质。市场上有很多数据可用,在平安人员进行大数据安全剖析时,这些数据的品质和准确性是一个最重要的考量。因而,企业须要有一个外部的数据评估团队针对数据起源提出相应的问题,如:每天可能增加多少数据?数据总共收集了多久?有没有样本数据以供评估?这些数据哪些是收费的?最近的数据是什么时候增加的?等等。

安全事件和数据泄露的新闻简直每天都可能呈现在报纸上,即便企业曾经开始采取伎俩进攻 APT, 传统的平安进攻伎俩对于 APT 之类的攻打显得方法不多。而利用大数据,企业能够采取更为被动的进攻措施,使得平安进攻的深度和广度都大为增强。通过大数据,人们能够剖析大量的潜在安全事件,找出它们之间的分割从而勾画出一个残缺的平安威逼。

退出移动版