大資料越用越想用，但不是你想用就能用

這年頭，凡事不和大資料掛鉤，都不好意思出門了。

網路安全也是，但是這次不僅是掛鉤這麼簡單，人家還是有調查資料顯示兩者之間的關係的。

8月，為了瞭解網路安全大資料分析的現狀、基於網路安全應用的Apache hadoop1與網路安全大資料分析之間的關係，安全研究中心 Ponemon Institute釋出了一份《大資料網路安全分析研究報告》，該研究專案由大資料公司Cloudera出資贊助。

在這項研究中，Ponemon Institute採訪了592位美國IT及IT安全從業人士，10位網路安全技術高管，他們所在的企業和組織都已經建立了Apache Hadoop應用。所有受訪者都是某種形式的大資料分析工具的使用者，部分參與者是Apache Hadoop平臺的使用者。

Apache Hadoop是一套用於在由通用硬體構建的大型叢集上執行應用程式的框架。它實現了Map/Reduce程式設計範型，計算任務會被分割成小塊(多次)執行在不同的節點上。除此之外，它還提供了一款分散式檔案系統(HDFS)，資料被儲存在計算節點上以提供極高的跨資料中心聚合頻寬。

Ponemon Institute的創始人Larry Ponemon認為，湧入企業環境的資料包含十分有價值的資訊，可用於識別和減輕威脅，但在許多情況下，推斷它對任何事情都有益還是太武斷了，首次報告不僅表明企業和組織知道他們有這些資訊可以對抗先進的威脅，也表明當資料與分析工具正確結合應用時，可降低整個企業或組織的風險。

88%受訪者：大資料重要

參與這項調查的企業大部分有相當成熟的網路安全專案。70%的受訪者表示，他們有許多中後期網路安全計劃活動部署或成熟階段的網路安全計劃活動部署。

根據上述研究，使用大資料分析方法偵查偏離良好行為的企業和組織可在幾小時甚至幾分鐘內確認安全事件，而且這一概率是不使用者的2.25倍。Apache Hadoop的使用者發現，分析網路安全事件的還有幾個重要意義。

72%的受訪者認為，大資料分析在偵測前沿網路威脅上十分重要;

72%的受訪者認為，使用大資料分析及傳統技術手段，可能可以走在高階威脅的前面;

65%的受訪者認為，大資料對營造和保障超強網路安全態勢十分必要。

下圖是受訪者對於“大資料分析到底對網路安全是何種程度的重要”這一問題的態度。嗯，88%的人都表態“重要”。

大資料，越用越想用

大資料分析工具的重度使用者比輕度使用者更有信心來檢測網路事故。對於常見的11種網路威脅，大資料分析工具的重度使用者和輕度使用者對自己處理起來的水平和能力也有不同認知。最大的鴻溝在以下幾個領域：檢測前沿惡意軟體/勒索，受損裝置(例如，憑據盜竊)，零日攻擊和惡意內部攻擊。最小的差距在以下領域：拒絕服務，基於網路的攻擊和矛式網路釣魚/社會工程。

大資料分析工具居然是越用越想用。調查顯示，61%的輕度使用者受訪者表示，需求增長顯著，而75%的重度使用者受訪者表示，需求增長更顯著。

調查：在過去12個月中，把大資料分析工具用於網路安全，你對此的需求是?

　　大資料，不是你想用就能用

大資料分析雖然用於網路安全接受度頗高，但是，調查顯示，還是有多重因素阻礙你用大資料。比如，下圖揭示了哪些因素阻礙大資料分析用於網路安全。

從上到下的因素依次為：缺乏內部專業知識、技術不足、資源不足、高管對網路安全是重大風險認識不足、和其他部門缺乏合作、不懂如何應對網路攻擊、不是優先順序事件、缺乏領導力、其他。

說了這麼多大資料如何如何，為了保障網路安全，頂尖技術到底應該有什麼特徵呢?

調查：以下為最有前途的技術特徵排序

從上到下的因素依次為：提供應用到安全資料的機器學習、提供使用者行為分析(UBA)、提供針對威脅和攻擊的預先警告、提供有關薄弱點或漏洞的智力支援、提供針對網路攻擊的網路分析、儘量減少內部人的威脅(包括疏忽)、提供使用者網路流量分析、優先威脅，漏洞和攻擊、限制未經授權的訪問和/或共享敏感或機密資料、防止不安全的裝置訪問安全系統、啟用有效的恢復操作、簡化威脅報告、安全端點包括移動連線裝置、啟用自適應外圍控制、減少或消除惡意軟體進入網路、啟用高效的補丁管理、減緩甚至阻止攻擊者的電腦、預先消滅DoS攻擊。

本文轉自d1net（轉載）