被大資料壓垮的網路安全工程師

E安全3月17日文 大資料。這三個字意味著我們也許能夠利用純粹的資訊作為下一代問題解決方案。如今圍繞大資料產生的炒作之聲此起彼伏，許多人認為資料的來源無窮無盡，並由此產生了資料越多越好的結論。

然而事實上，大資料並不能簡化安全專業人員的工作強度，反而令他們更加難以招架。

目前的安全工具正在檢測大量潛在安全事件，並通過剔除其中冗餘資料的方式幫助分析師進行後續梳理與關聯點預測。安全分析師們雖然能收集各類事件，但卻需要努力過濾掉其中不相關的內容，即試圖將重要事件與其它噪聲性干擾資訊區分開來，這顯然不是什麼好事。

大型企業仍在遭遇各類安全事故，而剔除干擾資訊使得調查工作進度緩慢，甚至需要100天乃至更長時間才能發現已然發生的違規活動。企業多年來一直在努力應對大資料帶來的影響，但卻收效甚微。

大資料：噪聲干擾還是可操作的網路安全資訊？-E安全

大集合並不等同於大資料
因為收集所有資料再進行分析需要佔用大量的計算機資源，必然導致系統分析速度緩慢。分析錯誤率也將隨當噪聲性資訊的數量提升開始增加，即表現出大量假陽性結果。

目前尚不存在能夠“仔細”篩選相關資料並加以分析還能及時響應的途徑。無論您立足怎樣的部門或者應用場景，情況都不會發生變化。

即使總體分析結論確實具有成效，但在分析過程中投入的大量人力資源仍然非常昂貴，更不要談什麼成本效益。目前並沒有真正能夠實時規模化、高效率分析這麼多資訊的切實的方法。真正重要的安全事件或者威脅常常被淹沒在大量資料形成的資訊海當中，最終無人知曉，而分析與總體響應速度也因此減慢，組織機構往往只能調查過去而無法解決當前的問題。

CSO們對此感到沮喪萬分，他們的CEO則堅持在有限的預算空間之內以實時方式發現並緩解全部潛在威脅因素。這顯然是一項不可能完成的任務。

評估每款安全工具的功能在甄別有效資訊時尤為重要
事實上，部分安全工具確實更適用於某些特定攻擊向量型別，且在其它攻擊活動中無法起到良好的作用。

例如，我們無法依賴沙箱工具建立IDS裝置及信譽系統功能（雖然不少沙箱產品確實整合有IDS及聲譽饋送機制，但其實際效果遠無法令人滿意）。反之亦然，不要一味信任IPS裝置，因為其中一部分由於開發團隊的關注取向而更適合追蹤許可權升級活動，而另一部分則可能更擅長解決DoS緩衝區溢位攻擊向量。更多全球網路安全資訊盡在E安全入口網站www.easyaq.com

問題的關鍵在於瞭解並評估每款安全工具的功能，包括其檢測能力、調查能力以及緩解/修復能力，在獲得切實可信的結論之後，建立情報層以確保攻擊活動中的每一項步驟皆能夠被及時發現並解讀其意圖，而後將其與最佳安全響應舉措（即最佳工具中的對應功能）進行關聯，這將大大提升利用大資料解決安全問題的實際效果。

這一處理方式允許我們從工具中收集相關性最高的資料集，並利用其處理最為緊迫的安全威脅問題。也就是說，我們不再盲目收集所有資料點，而著眼於捕捉質量更高的相關資料。高質量資料能夠幫助大家更為高效地追蹤事件相關性，並將其與相關度最高且最為有效的安全調查及緩解功能進行對接，這樣依賴一切都將因此擁有更理想的精度與實時水平。

簡而言之，相較於囤積資料並指望利用企業的業務與安全優勢馴服這一龐大的原始資源，未來我們更多需要增加企業的實際能力並改善對針對性攻擊意圖的解讀。只有這樣，企業才能在攻擊活動的每個階段建立起最佳響應程式及舉措。這種新的模式將能夠解決存在於相關行業之內最為實際且最為根本的問題，單純對大資料的收集反而成為最可怕的風險。

本文轉自d1net（轉載）