大資料分析工具與分散式資料庫確實蘊藏著巨大潛力,有可能改變安全監控與調查工作的執行方式。然而這些與彙總安全資料並加速分析流程的創新途徑也會帶來很多不必要的麻煩。
這不僅是因為比起供應商們的賣力宣傳,這些工具與服務其實很難被納入業務流程當中,而且它們還會給不加批判使用這類方案的安全部門帶來大量潛在風險。這一結論來自Rapid7公司首席研究官兼安全研究員H.D.Moore本週早些時候在本屆于波士頓舉行的聯合國安全大會上的發言。
根據Moore的觀點,大資料很可能給“攻擊者與防禦者雙方的根本機制帶來變化”。而且安全部門尤其需要從以下三個角度理解Moore在本屆大會上的發言。
1. 大資料絕非魔法
根據Moore的論斷,如今以大資料為核心的炒作之聲甚囂塵上,這一術語已經成為所有型別安全分析工具的必備宣傳口號。安全業界幾乎把它作為一句咒語來膜拜,似乎只要有大資料存在,安全性的美夢就能最終實現。
“人們往往認為如果我們把所有資料都安置在一起,就能魔術般地實現安全性訴求。這當然只是種誤解,”他指出。“在海量資料面前,我們可以通過深入鑽研找到有價值的內容,從而獲得顯著的安全提升效果,但整個分析過程絕不可能手到擒來。”
如果沒有專門的管理者打理執行流程、編寫正確的查詢指令並詢問符合實際的安全問題,大資料其實根本無法帶來什麼實質性效果。“因此,請注意您的投資方向,並確保在向某款資料分析工具投資之前、至少已經有一家其它廠商也向其投過資。再有,我們的投資數額不要超過對方,”他指出。
2. 把所有雞蛋放在同一個搖搖欲墜的籃子當中
更令Moore感到憂心的是,雖然大資料安全分析工具層出不窮(包括自主研發與第三方提供),但這些工具本身的安全性其實並沒有保障。
“我們看到眾多以大資料工具包為核心創造出的方案——例如Mongo以及Cassandra——但這些工具中往往並沒有加入安全機制,”他表示。舉例來說,MongoDB在預設狀態下並不支援SSL,而且與更加成熟的傳統資料庫相比、其安全級別還遠遠達不到要求、也沒有提供類似的管理工具。“這實際上非常可怕,在預設情況下這些工具毫無安全性可言,但它們如今卻已經被打包出售並充當大資料服務的後端。”
此同時,企業則將大量安全後設資料、日誌檔案等等聚合在一起從而實現大規模分析,這種做法進一步加深了安全風險出現的可能性。
“企業正竭盡全力將所有能夠獲取到的資料集中起來儲存在同一位置,”他解釋道。“對於惡意人士來說,這種集中式儲存方式無疑是最唾手可得的財富寶庫。面對過去那些可怕的密碼洩露事故,每位管理者都會感到不寒而慄。然而與未來可能由於大資料彙總所引發的TB級別資料洩露相比,過去那些事故簡直不算什麼。”
企業放置敏感安全資料的籃子不僅太大,而且放得也不太穩,這一切當然會令人憂心忡忡。
3. 依平均概率推算,分析服務供應商的違規事故即將出現
在多數情況下,雞蛋籃子的傾覆普遍基於外部原因。隨著大資料安全分析服務供應商逐步加入戰團,企業如果不認真審查自己的供應商、其面臨的風險狀況將持續惡化,Moore警告稱。
“安全服務供應商所處理的資料總量以及資料型別非常關鍵,”Moore進一步解釋稱。“大家會發現包括電話通話日誌(誰打給誰、使用者何時登陸等)以及其它敏感資訊在內的資料都會被納入到日誌檔案當中來。”
Moore認為,隨著服務供應商在市場價值上的逐步擴充,他們使用的相關產品中不安全因素也將持續增加。供應商手中掌握的重要客戶資料清單一天天膨脹,而這最終會導致大規模資料洩露事故——這一天已經不會很遠。
“明年幾乎必須會出現大問題,我們很可能看到某家大型分析服務供應商——無論是安全性、日誌資料還是其它業務——遭遇違規事故,”他指出。“這與個人意見無關,而只是平均概率帶來的必然結果。如今有很多傢伙正努力打造產品與服務,雖然我們並不瞭解他們的具體執行流程,但資料洩露的出現將只是時間問題。”
原文連結:3 Inconvenient Truths About Big Data In Security Analysis via:IT168