大資料觸動了網路安全哪根神經？

人們熟知的平安城市專案中涉及大量攝像頭的部署。一個小家庭的安全防護可以靠門、窗、鎖，但是一個空間開放的城市的防護可能就要依靠更多的攝像頭。這一點與網路安全的演進有些類似。以前，企業主要依靠防火牆、漏洞掃描、防毒軟體等安全裝置，保護的是相對封閉的、有明確界限的企業內部環境。但是隨著雲端計算、網際網路的興起，企業的邊界、安全的邊界正逐漸變得模糊。保護企業的安全，那些”門、窗、鎖“是必須的，但是如果增添了”攝像頭“，企業的安全是不是更有保障？

企業在已經建立了一個基本的安全防禦體系，部署了各類安全的軟硬體之後，還應該進一步建立一個全面、立體、主動的監控體系。大資料安全就像是攝像頭+中控，是這個立體的監控體系的重要組成部分。“大資料安全對於傳統的安全防禦市場來說是一種顛覆。不過，大資料安全對於傳統的安全體系來說不是替代，而是必要的補充，是從一個新的角度來審視安全防禦。”HanSight瀚思CEO高瀚昭表示。

企業掌握安全的主動權
阿里巴巴集團首席風險官劉振飛表示：“在DT（Data Technology）時代，傳統安全機制頹勢盡顯。傳統的企業安全重在建設封閉可控的環境，而網際網路業務最大的特點在於沒有邊界、海量使用者、裝置不可控。在古代戰場上，可以用城牆來防禦敵人，但是今天，必須建立立體的防控體系才能保障城市的安全。”

在“斯諾登”事件曝光後，人們意識到全面的監控是必須的。但是以前由於技術手段的限制，人們無法對海量的資料進行及時有效的分析。現在，隨著雲端計算、大資料、機器學習等技術的興起，對海量資料進行實時分析成為可能。大資料直接帶動了網路安全的變革。

最堅固的堡壘往往是從內部被攻破的。因此，對所有發生在企業內部的使用者行為進行監控和分析，是主動防禦不可缺少的一環。對於用傳統安全手段無法發現和探知的問題，大資料安全可以通過最嚴密的分析定位問題所在。

現在，銀行都在做資料大集中，通常情況下銀行一天的網銀日誌資料量就達數TB，而這麼龐大的資料以前從來沒有得到過有效分析。現在有了趁手的大資料分析工具，銀行非常積極地利用這些日誌資料進行業務分析、運維分析和安全分析。“像銀行、電力、運營商、公安等行業的客戶，在其業務發展到一定規模後，深知安全性對其業務發展的重要性，所以對大資料安全有強烈的需求。”高瀚昭分析說，“而一些網際網路企業目前將主要精力放在迅速擴充套件業務上，而且沒有遇到對業務產生嚴重影響的安全威脅和事故，所以對安全系統的建設關注不夠。”

以前，企業處在被動防禦階段，安全工作的重點集中在邊界，想盡辦法不讓黑客攻進來。但是現在，由於大資料分析工具的運用，主動防禦成為可能，企業可以利用全面、深入且及時的資料分析，發現過去不曾被發現的安全漏洞或威脅，甚至可以找出安全攻擊的路徑，提前做出預警或準備。在大資料時代，企業將掌握安全的主動權。

大資料安全拼的是什麼？
有了大資料這個重要抓手，網路安全可以從以前的被動防禦轉為現在的主動防禦。以銀行為例，在對待安全這個問題上，它們早就拋棄了“頭痛醫頭，腳痛醫腳”的陋習，而是在做好基本安全防禦（包括建立健全安全規範和流程）的基礎上，主動採用大資料安全手段，建立主動防禦體系。客戶不再單純依賴安全廠商，而是藉助大資料安全工具，主動尋找自己的安全短板，將更多精力放在安全預測、主動防禦上。“國內的一些大型銀行、運營商都在積極實施主動防禦。”高瀚昭介紹說。

在現實世界中，80%-90%的資料都可能與安全相關，所以要儘可能對所有資料來源的資料進行收集、分析。以前，人們認為安全威脅都來自外部，所以只要守住企業與外界之間的那道”牆“，就可以保護企業內部的安全。其實，研究發現，企業內部的資料庫也並不安全，可能在使用者不知情的情況下已經被黑客侵入。如果使用者不瞭解這些新的變化，那麼安全防禦也就無從談起。

“與其說是大資料促成了安全從被動防禦到主動防禦的轉變，不如說是機器學習促進了這種轉變的發生。”高瀚昭表示。傳統的安全處理方式是有限的，通常經過告警、彙總、分類、排序等環節，由人工參與安全資訊的處理，最後梳理出的有效的資訊可能也就幾十條。現在，安全分析要處理的資料是海量的，就像是大海撈針，如果再依靠人工是不可想象的，而必須依靠機器學習，進行深入的行為分析和模式匹配，找到安全漏洞。

賽門鐵克公司也認為，機器學習的能力將是未來安全廠商的核心競爭力。“機器學習的能力將成為衡量一個大資料安全廠商是否優秀的重要標準。”高瀚昭介紹說，這涉及兩方面的內容：一是演算法的先進性，看哪個廠商能夠更精準地找到安全漏洞；第二，威脅情報庫是否完備。HanSight瀚思持續不斷地優化其機器學習演算法的效能，實現實時的分析，1-2秒鐘即可得到結果，而以前的分析時間是分鐘級甚至小時級別。另外，機器學習還必須在真實的應用環境中，建立符合使用者行為基準的模型，這樣才保證分析結果的正確性。“

機器學習系統的一個難點是，系統不容易調整，通常只有專家才能掌握，實施起來比較困難。機器學習系統是一個引數敏感的系統，引數的微小調整都會讓結果千差萬別，因此以前大多隻用於科研，而只有引數不敏感、可以自適應的機器學習系統才是適合商用的。除了不斷提升機器學習系統的效能以外，HanSight瀚思的另一項工作是實現機器學習系統的資料視覺化。通常情況下，機器學習系統得出的結果是一串數字，普通使用者很難理解它所代表的意思，因此就需要廠商運用圖計算、圖資料庫，並結合拓撲結構，將數字轉化為直觀的圖形呈現給使用者，比如用一個點的大小來表示安全問題是否嚴重。

大資料安全的門檻高在哪？
“資料驅動安全”這一思想已被越來越多的廠商和使用者所接納。大資料與安全碰撞出的火花對安全市場未來的發展將起到非常重要的作用。一些傳統的安全廠商已經在積極轉型。但是船大難掉頭，限於公司原有的架構、機制等方面的原因，傳統安全廠商很難在短時間內在大資料安全方面有巨大的突破。像HanSight瀚思這樣的大資料安全分析領域的創業公司則起到了帶頭和引導的作用。

“在中國，大資料安全領域的創業公司還比較少，其難點在於，企業必須建立安全資訊管理中心，接入各種資料來源，提供涵蓋前後端的全面支援，工作量非常大。傳統安全廠商只要解決一個點的安全問題，而大資料安全要解決一個面的問題，要對所有相關資訊進行收集和分析。”高瀚昭以前曾在一家安全公司負責全球病毒自動分析工作，所以才能攬下大資料安全這一瓷器活兒。

大資料安全的門檻高在哪？全球第一家上市的大資料公司Splunk公司是大資料安全領域的佼佼者。不過，它也是經過了六七年的研發、醞釀之後，才將其大資料安全產品市場化。成立只有兩年的HanSight瀚思已經可以交付成熟的企業級大資料安全平臺。

Splunk銷售的是大資料安全工具，需要客戶在此基礎上做大量的二次開發，因此對客戶的專業技能有一定要求，實施起來相對複雜。另外，作為一個國外廠商，Splunk的本地化支援力度也有待加強。“中國客戶傾向於採購‘交鑰匙’的解決方案，希望廠商不僅能夠幫助它們發現安全問題，最好還能一併解決問題。HanSight瀚思能夠滿足中國使用者的特殊需求。”高瀚昭表示，“在大資料安全領域，中外廠商基本處於同一起跑線。我們的產品在分析、展現和模型的建立上並不遜於國外的產品。在國內，我們已經有了許多大中型的企業客戶。”

在中國，HanSight瀚思有三個業務基地：成都主要負責SOC（安全運營中心）的建立，以及演算法的研究；北京負責企業版大資料安全產品的交付；南京的重點放在SaaS服務的交付。高瀚昭介紹說：“我們的SaaS安全產品正在研發中，計劃於3月釋出。實施SaaS的前提是要將使用者場景最小化，支援標準化的硬體，包括常用的交換機、防火牆等。SaaS安全服務的興起可以讓大量網際網路企業受益。在網際網路平臺上，資料可以充分共享，在此基礎上，通過建立一個虛擬化SOC，可以提供安全評估服務、安全監控服務、安全運維服務等，還可以建立一個全面的安全威脅情報庫。將網際網路上的海量資訊彙總、分析後，可以為網際網路使用者提供安全預警。”

本文轉自d1net（轉載）