Большие данные: перспектива безопасности (часть 2)

Опубликовано: 7 Апреля, 2023

Введение

Когда мы говорим о феномене больших данных и безопасности, возникают как минимум два различных аспекта. В части 1 этой серии из двух частей мы обсудили проблемы защиты самих данных, когда они существуют в исключительно больших объемах, часто распределенных по нескольким физическим местоположениям. В этой части 2 мы обратимся к обсуждению мнений экспертов относительно того, можно ли и как использовать аналитику больших данных для обнаружения и прогнозирования атак, что делает ее инструментом для повышения общей безопасности вашей сети.

Первый вопрос: это все реклама?

Как и в случае с большинством популярных модных словечек в области ИТ, большая часть «шумихи» вокруг аналитики больших данных создается поставщиками в попытке продать вам продукты и/или фанатами (или фанатками), которые настолько увлечены конкретным технологическим решением, что они Вы слепы к своим недостаткам или ограничениям. Поскольку безопасность является серьезной проблемой для большинства организаций (и обязательна для тех, кто подпадает под действие различных государственных и отраслевых норм), это особенно верно в отношении аналитики безопасности больших данных.

Как объясняет Рэнди Франклин Смит в своем вебинаре «Преодоление шумихи: что такое аналитика безопасности больших данных» как только вы разберетесь с преувеличенными утверждениями, вы обнаружите, что действительно есть несколько важных способов, которыми усилия по обеспечению безопасности могут извлечь выгоду из аналитики больших данных..

Прошлым летом вице-президент и научный сотрудник Gartner Нил Макдональд заявил, что анализ больших данных для выявления потенциально опасной сетевой активности становится необходимостью, а не роскошью. Он предсказал, что к 2016 году его будут использовать 40% предприятий. И некоторые считают, что он уже здесь. Исследование, проведенное ESG в конце 2012 г., показало, что 44% предприятий уже отнесли бы свою аналитику безопасности к категории «больших данных» и столько же полагали, что окажутся на этой позиции в течение двух лет.

Но что это значит? Макдональд рассматривает это как способ объединения наборов данных безопасности и операций в то, что он называет «BI для ИТ». Другими словами, речь идет об огромных объемах данных безопасности, которые, как и другие типы больших данных, трудно или невозможно обработать с помощью традиционных методов и приложений.

Эволюция управления информацией о безопасности

Чтобы понять, как возникла аналитика безопасности больших данных, нам сначала нужно рассмотреть концепцию SIM (управление информацией о безопасности), которая сама по себе является частью SIEM (управление информацией о безопасности и событиями). Компонент SIM занимается хранением, анализом и составлением отчетов по данным журнала безопасности, в то время как компонент SEM (управление событиями безопасности) обрабатывает мониторинг и сбор данных, которые попадают в журналы, а также уведомления и предупреждения в реальном времени на основе этой информации.

Аналитика безопасности больших данных является продуктом SIM/SEM/SIEM – она идет дальше, собирая более полный набор данных по всему предприятию, а затем использует расширенное распознавание образов, расширенный статистический анализ, эвристику и другой поведенческий анализ для обнаружения отклонений от норма. Это направлено на выявление и предотвращение типов атак, которые пропускают более традиционные инструменты, такие как APT (Advanced Persistent Threats).

В то время как в прошлом компании применяли реактивный подход к безопасности — как в ответ на сами угрозы, так и в ответ на требования правительства и отрасли, — подход к аналитике безопасности больших данных является более активным. Он включает в себя сбор данных, необходимых для оценки рисков до или во время атаки, а не ожидание реакции после того, как атака уже произошла и был нанесен ущерб. В конечном счете, цель состоит в том, чтобы интегрировать данные безопасности в общую бизнес-аналитику и сделать их частью процесса принятия решений.

Что компании обнаружили, пытаясь улучшить свои модели безопасности и сделать безопасность более неотъемлемой частью своих бизнес-процессов, так это то, что огромный объем данных и сложность новых типов угроз затрудняют использование инструментов, которые они могли использовать. использовать в прошлом. Таких инструментов много, но они часто не работают вместе, поэтому обработка и анализ информации фрагментированы. Аналитика безопасности больших данных будет включать сбор и обработку терабайтов, петабайтов или даже большего количества информации, относящейся к безопасности, из различных источников, таких как файлы журналов и приложения, которые отслеживают и записывают поведение системы, сети и пользователей.

Новые технологии, такие как мобильные и облачные вычисления, создали новые проблемы безопасности. В то же время, когда злоумышленники становятся все более изощренными, ИТ-отделы теряют большую часть жесткого контроля над своими сетями, который они имели в прошлом. Гибридная ИТ-тенденция приводит к объединению локальных ресурсов с ресурсами, размещенными у облачных провайдеров, а тенденция BYOD означает, что пользователи выбирают и используют смартфоны, планшеты и ноутбуки, которые не принадлежат и не выпускаются компанией. Все это создает постоянно растущий объем информации, которую необходимо анализировать, чтобы постоянно держать под контролем ситуацию с безопасностью. И здесь на помощь приходит аналитика безопасности больших данных.

Увидев большую картину

Современные инструменты анализа безопасности имеют тенденцию быть специализированными; каждый из них предназначен для обнаружения определенных типов угроз, таких как вредоносные программы или попытки вторжения в сеть. Проблема та же, что и в медицине, например, если пациента осматривает только несколько специалистов и нет врача-посредника, такого как семейный врач или терапевт, который обучен смотреть на «общую картину». ” общего состояния здоровья пациента.

Специалисты (в любой области), как правило, сосредоточены почти исключительно на своей области специализации. Если вы попадаете в непредвиденную финансовую ситуацию, налоговый адвокат, как правило, видит только налоговые последствия, адвокат по семейным делам сосредоточится на защите денег при изменении вашего семейного положения и так далее. В то время как специализированные инструменты анализа безопасности имеют свое место, крупным организациям нужна (а большинству из них не хватает) возможность получить общее представление о безопасности на предприятии.

Что-то еще, что мешает нам увидеть общую картину, ограничивает типы данных, которые мы анализируем. Ограничение его традиционными файлами журналов безопасности может привести к тому, что вы пропустите ранние признаки проблем с безопасностью или атак. Даже неструктурированные источники данных, такие как сообщения в блогах и социальных сетях или электронные письма, могут дать подсказки. Большие данные предназначены для обработки как структурированных, так и неструктурированных данных, но чем больше типов данных вы собираете для анализа, тем больше общий объем данных, которые необходимо проанализировать, и это снова приводит к необходимости в новых и более совершенных инструментах, которые может обрабатывать эти типы данных и масштабироваться для обработки возросших объемов данных.

Включение теории игр

Безопасность — это серьезное дело, поэтому может показаться несерьезным использовать слово «игра» по отношению к разработке вашей стратегии безопасности, но на самом деле теория игр касается принятия стратегических решений, и это относится не только к игровому времени. Это математическая модель для предсказания поведения, которая использовалась в бизнесе и политике, биологии, философии и компьютерных науках.

Использование теории игр в разработке стратегии компьютерной безопасности слишком сложно, чтобы вдаваться в подробности здесь, но если вы склонны к математике, эта статья может показаться вам интересной: Game Strategies in Network Security by Kong-wei Lye and Jeannette Wing, Carnegie Mellon. Университет.

Для тех, кто предпочитает более упрощенный подход, есть еще один способ обратиться к играм за примерами того направления, в котором мы должны двигаться, адаптируя стратегии корпоративной безопасности ко все более сложным сетям и все более изощренным угрозам. В большинстве стратегических игр, от футбола до шахмат, важно планировать как оборонительную, так и наступательную тактику. Это можно рассматривать как расширение потребности как в ответных, так и в упреждающих мерах.

Безопасность традиционно сводилась к обороне. Мы даже называем наш план обеспечения безопасности «глубокоэшелонированной защитой». Защитные меры безопасности включают брандмауэры, антивирусное и антивирусное программное обеспечение, обновления безопасности для устранения уязвимостей в программном обеспечении, «защиту» серверов и т. д. Они не исчезнут в ближайшее время, но аналитика безопасности больших данных — это добавление более «наступательной» стратегии, которая включает непрерывный мониторинг и автоматизацию процессов реагирования.

Обнаружение имеет ключевое значение, при этом высокий процент нарушений безопасности не обнаруживается организациями в момент их возникновения, а низкий процент специалистов по безопасности выражает уверенность в том, что они узнают, когда системы были взломаны. Но обнаружение — это только полдела: разница между катастрофическим воздействием на производительность, репутацию и прибыль организации и минимальным воздействием зависит от того, что происходит при обнаружении нарушения и как быстро оно происходит.

Даже при использовании современных SIEM-решений в какой-то момент часто требуется ручная (человеческая) проверка данных, чтобы исключить ложные срабатывания. Более совершенные инструменты аналитики могли бы сократить эти административные издержки и автоматизировать больше процессов, что, в свою очередь, ускорило бы время отклика. Конечно, когда время имеет решающее значение и работу выполняют машины, производительность аппаратного и программного обеспечения, выполняющего аналитику, приобретает еще большее значение. Распределенный характер больших данных позволяет выполнять массовую параллельную обработку, при которой обработка распределяется по нескольким системам/процессорам для достижения скорости обработки, которая в противном случае была бы невозможна.

Резюме

В частях 1 и 2 этой серии мы представили обзор того, как можно защитить огромные объемы данных, что такое аналитика безопасности больших данных и как она работает. В части 3 мы завершим эту статью, состоящую из трех частей, и рассмотрим некоторые коммерческие решения для анализа безопасности больших данных, которые существуют в настоящее время, а также то, что может появиться на горизонте в этой новой категории продуктов безопасности..

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023