大數據的安全底線_數據分析師

當企業邁進大數據時代，信息安全面臨多重挑戰。數據大集中的安全隱患重重，而大數據不僅被用來找出潛在威脅，也被黑客用來實現更精準的打擊。大數據來襲，企業不僅要學習如何挖掘數據價值，使其價值最大化，還要統籌安全部署，以免遭到更強有力的攻擊，降低企業風險。 大數據會捅大婁子？ 毫無疑問，企業正在擁抱大數據，并且將大數據挖掘和分析能力作為企業核心競爭力的關鍵。Gartner一個悲觀的預測認為：到2015年，超過85%的財富500強企業將無法有效利用大數據帶來的競爭優勢。Garnter認為，大數據不僅是量多，還包括復雜性、多樣性和數據傳輸速度等問題，“單單收集和分析數據是不夠的，企業還必須具備實時提供數據的能力，以對企業的生產力、盈利能力或效率帶來實質的影響，并制定出相應對策”。

對于大數據，企業還需要考慮如何應對數據泄露風險，并且建立相關預案，因為大數據對分析和計算性能要求提高的同時，還帶來了更多安全風險。正如Gartner論斷的那樣：“大數據安全是一場必要的斗爭?！?/span>

大數據來襲，你準備好了嗎？

數據分析和業務緊密相關

Gartner的數據顯示，近兩年產生的數據量是過去互聯網出現以來所有數據量的總和。而隨著社交網絡和移動設備的普及，企業80%的數據是非結構化或半結構化的，結構化數據僅有20%。同時，全球結構化數據增長速度約為32%，而非結構化數據的增速則高達63%。

大數據為傳統安全防護帶來不小的安全挑戰。中國電子信息產業發展研究院信息安全研究所分析師王闖表示，大數據時代的安全與傳統安全相比，變得更加復雜?！斑@體現在兩方面：一方面，大量的數據匯集，包括大量的企業運營數據、客戶信息、個人的隱私和各種行為的細節記錄。這些數據的集中存儲增加了數據泄露風險，而這些數據不被濫用，也成為人身安全的一部分。另一方面，大數據對數據完整性、可用性和秘密性帶來挑戰，在防止數據丟失、被盜取和被破壞上存在一定的技術難度，傳統的安全工具不再像以前那么有用?！?/span>

“由于這些數據已經成為企業生存的根本，信息安全防護體系的建設越發重要了。但是面對海量的數據收集、存儲、管理、分析和共享，傳統意義上的網絡與信息安全面臨新的問題?！蓖蹶J認為，“企業要從網絡安全、數據安全、災難備份和安全管理等各個角度考慮，部署整體的安全解決方案，來保障企業數據安全?！?/span>

知易行難。當企業用數據挖掘和數據分析獲取商業價值的時候，黑客也可以利用大數據分析向企業發起攻擊?！昂诳妥畲笙薅鹊厥占嘤杏眯畔?，比如社交網絡、郵件、微博、電子商務、電話和家庭住址……為發起攻擊做準備。尤其當你的VPN賬號被黑客獲取時，黑客就可以獲取你在單位的工作信息，進而入侵企業網絡?！本G盟科技首席戰略官趙糧表示，大數據分析讓黑客的攻擊更精準。

通常，那些對大數據分析有較高要求的企業，會面臨更多的挑戰，例如電子商務、金融、天氣預報的分析預測、復雜網絡計算和廣域網感知等。啟明星辰核心研究院資深研究員周濤告訴記者，任何一個會誤導目標信息的提取和檢索的攻擊都是有效攻擊，因為這些攻擊對安全廠商的大數據安全分析產生誤導，導致其分析偏離正確的檢測方向?！斑@些攻擊需要我們集合大量數據，進行關聯分析才能夠知道其攻擊意圖。大數據安全是跟大數據業務相對應的，傳統時代的安全防護思路此時難以起效，并且成本過高?！痹谥軡难劾?，與傳統安全相比，大數據安全的最大區別是，“安全廠商在思考安全問題的時候首先要進行業務分析，并且找出針對大數據的業務的威脅 ，然后提出有針對性的解決方案?！?/span>

NoSQL并非萬無一失

Hadoop作為一個分布式系統架構，可以用來應對海量數據的存儲，而這樣的數據量往往是以PB甚至ZB來計算。作為一個云化的平臺，Hadoop自身也存在著云計算面臨的安全風險。正如王闖所言，企業需要實施基于身份驗證的安全訪問機制。此外，由Hadoop派生的新數據集也同樣面臨著數據加密的問題，Hadoop對數據的聚合增加了數據泄露的風險。

談到大數據的存儲，就不能不談NoSQL。它迎合了大數據的時代，更適合非結構化數據的存儲和分析，有靈活、可擴展性強、降低復雜性等特點，因此被IT企業看好。但NoSQL并不像它看上去的那么美，其安全性一直在業界存有爭議。而這也可能會成為NoSQL發展最大的桎梏。

NoSQL的出現主要是用來處理海量數據，所以它在設計時犧牲了一些SQL數據庫的特性，例如數據庫事務的一致性需求、數據庫的寫實時性和讀實時性需求、多表關聯查詢的需求等。這些簡化設計大大提高了NoSQL處理海量數據時的速度，也提高了可擴展性，但同時也帶來了一些安全風險。 一方面，NoSQL內在安全機制不完善，導致安全風險?！袄鏝oSQL的代碼沒有在每個事務修改后要求一致性，用戶可能無法看到最新的數據，因為事務沒有立刻寫入數據庫，有可能同步發生的事務受到其他事務干擾。不是所有的用戶一定會在同一時間查看同一個數據?！蓖蹶J表示，

“NoSQL數據庫缺乏保密性和完整性的特質。例如NoSQL數據庫缺少圖式（schema），你不能在表、行或列上分隔權限并保持對數據的快速訪問，它們很少有內建的安全機制?！?/span>

另一方面，NoSQL對來自不同系統、不同應用程序及不同活動的數據進行關聯，人們擔心隱私遭到侵犯。今年3月，谷歌修改其隱私保護政策，允許谷歌融合來自所有服務中的信息。對此王闖表示：“將不同應用的信息加以整合可能為企業帶來更多價值，但是對員工而言，則可能會導致更多隱私被挖掘出來?！?/span>

“由于大家都剛剛接觸NoSQL，因此他們所首先要解決的問題是使其正常運轉，也就是說大家往往會滿足于正常運轉這一狀態，至于安全性估計要到一段時間后才會被重視起來?！盜mperva公司創始人兼CTO Amichai Shulman預計，由于大多數人對NoSQL缺乏足夠的了解，用戶在部署時很可能“捅出大婁子”。

“大數據的體現形式歸根結底還是靜態存儲狀態。靜態存儲的數據是大數據非常明顯的一個挑戰?！盬ebsense中國區技術總監陳綱認為，數據大集中的后果是復雜多樣的數據存儲在一起，例如開發數據、客戶資料和經營數據存儲在一起，可能會出現違規地將某些生產數據放在經營數據存儲位置的情況，造成企業安全管理不合規。此時，企業的安全措施需要從企業內部拓展到數據中心或者運營商。 2012年RSA大會上，RSA總裁Tom Heiser表示，RSA和EMC在身份認證和大數據上的優勢會在未來凸顯，“企業面對高持續性安全威脅的情況下，安全投入會持續增加。同時安全技術市場也將發生變化，基于傳統安全的防病毒、防火墻和IPS的技術和解決方案會向以身份認證和大數據分析監控的技術方向轉化?！?/span>

APT攻擊更囂張

火焰病毒爆發備受關注。由于隱蔽性強，火焰病毒在潛藏了將近兩年之后才被人們發現，高級持續性攻擊（APT攻擊）的厲害性也再次被人們所認識。

大數據為黑客發起攻擊提供了更多機會。利用大數據，黑客可以擴大攻擊的效果。這主要體現在三個方面：首先，黑客利用大數據發起僵尸網絡攻擊，可能會同時控制上百萬臺傀儡機并發起攻擊，這個數量級是傳統單點攻擊不具備的。其次，黑客可以通過控制關鍵節點放大攻擊效果。再次，大數據的價值低密度性，讓安全分析工具很難聚焦在價值點上，黑客可以將攻擊隱藏在大數據中，給安全廠商的分析制造一些困難。正如啟明星辰周濤所言，黑客設置的任何一個會誤導安全廠商目標信息提取和檢索的攻擊，都會導致安全監測偏離應有的方向。

黑客利用大數據將攻擊很好地隱藏起來，使傳統的防護策略難以檢測出來。傳統的檢測是基于單個時間點進行的基于威脅特征的實時匹配檢測，而APT攻擊是一個實施過程，并不具有能夠被實時檢測出來的明顯特征，無法被實時檢測。同時，APT攻擊代碼隱藏在大量數據中，讓其很難被發現。此外，攻擊者還可以利用社交網絡和零日漏洞進行攻擊，抓住威脅特征庫無法檢測出來的時間段，發起攻擊。

盡管大數據似乎讓黑客的攻擊更加得心應手，能夠取得更大的收益，不過，事情總有兩面性，智能分享平臺和大數據分析應對APT攻擊的方式，在安全廠商中的聲音越來越多。在2012年Gartner安全和風險管理峰會上，Gartner公司副總裁Neil MacDonald預測，到2016年，40%的企業（以銀行、保險、醫藥和國防行業為主）將積極地對至少10TB數據進行分析，以找出潛在危險的活動。Gartner還認為，由于APT攻擊崛起，大數據分析成為很多企業信息安全部門迫切需要解決的問題。傳統安全防御措施很難檢測高級持續性攻擊，因為這種攻擊與之前的惡意軟件模式完全不同。

既然APT攻擊很難被檢測到，企業必須先確定正常、非惡意活動是什么樣子，才能盡早確定企業的網絡和數據是否受到了攻擊。Macdonald表示：“要成功做到這一點，企業需要更多的數據來建立一個基線標準，這也就是大數據的用武之地?！钡拇_，大數據讓檢測過程變得自動化，效率更高。

“大數據對安全廠商而言，最重要的是你如何將事件的模式、攻擊的模式、時間和空間上的特征，總結抽象出來一些模型，變成大數據工具可以幫你發現的一些模式?！壁w糧認為，首先要搞清楚攻擊是如何發起，會造成什么影響，然后根據分析結果建立安全模型。但他說這并不容易，“即使用自然語言講起來都會存在很大不確定性，而要把它變成機器語言，安全廠商面臨非常大的挑戰”。趙糧表示，要建立合理的模型，安全廠商需要對非常多的數據進行關聯分析，例如APT攻擊建模不只是針對一個攻擊包或者某一個威脅架構，而是需要針對大范圍的數據，“包括一個區域或者一個行業的數據”。 不僅如此，為了精準地描述威脅特征，建模的過程可能耗費幾個月甚至幾年時間，企業需要耗費大量人力、物力、財力成本，才能達到目的。

“在這種情況下，傳統的邊界防護失效，安全廠商需要建立相應的大數據分析機制?！敝軡J為，大數據分析是解決各種高端攻擊的有效方法。其中一個典型的應用場景是，針對大數據潛伏時間長、難以被檢測的問題，安全廠商不能只進行單點檢測，而是針對一段時間內的數據進行關聯檢測。針對零日漏洞的攻擊可能在當時無法發現，但是通過IPS的不斷升級，檢測能力不斷提升，進行二次檢測的時候能夠檢測出來。

大數據分析帶來安全機遇

大數據技術是把雙刃劍，結果取決于技術的使用者及其目的。

“大數據分析是一個工具，不僅可以提升企業正在做的東西，同時也可以做以前無法做的東西，比如大型企業的取證問題?！壁w糧表示，“取證過程需要抓取所有的數據包和模式。在大數據之前，通過手工的方式需要耗費很長時間，因此企業很難做到。甚至一年前的數據很少有人能夠找到。

但是在大數據時代，你每發現一個問題時候都可以向前回溯兩三年甚至更長時間的數據，從而確認以前是否已經受到攻擊，哪些部門曾受到攻擊?！?/span>

綠盟科技規劃經理劉淑玲在接受本報記者采訪時表示，大數據分析幫助企業加強安全能力的同時，還可以建立信譽評估機制，對海量信息做關聯分析還能準確感知國家信息安全態勢。他認為國內一些行業也在嘗試，但尚沒有成功案例。

事實上，一些安全廠商已經在身體力行了。周濤向記者透露，啟明星辰在大數據研究上重視宏觀網絡感知和微觀威脅檢測兩方面：“首先是宏觀安全狀態感知，要在廣域網分布式計算產生的大量檢測設備的基礎上，評估廣域網的安全態勢。如果有異常系統要報警，甚至還要預測異常的發展?！敝軡f，在微觀層面，“啟明星辰更主要的是研究APT攻擊。惡意代碼的隱蔽性越來越好，攻擊途徑越來越多。黑客如何從微觀領域獲得大量數據來獲取攻擊信息，如何通過這種局部的攻擊數據來構筑整個攻擊場景”。

在安全態勢感知上，啟明星辰建立起一系列安全基本指標模型，“在海量數據采集的基礎上，從原始數據中進行二次提取，并且建立一些指標，將其分為基礎指標、應用層指標等多種類型，然后基于指標之間的關聯分析、每個指標的變化狀況，對宏觀網絡安全態勢做出判斷?！敝軡嘎?，這項研究在一些城域網安全項目中已經得到成功應用。

分析模型與商業智能不同

在分析平臺上，安全廠商和商業智能領域的數據分析一樣，也采用在Hadoop架構，在其基礎上構建分析模型。

但是在分析模型上，安全領域的數據挖掘跟商業智能領域的數據挖掘有很大差別。首先，安全廠商需要從不完整的部分數據中還原出全部的完整數據和場景。其次，數據挖掘在海量數據的基礎上，進行精確識別和深度檢查，進行二次分析，來識別真正的威脅。這與商業智能軟件的分析有很大差別。

“商業智能分析軟件使用的是精簡的算法、關聯分析預測等，在單點分析方面比較成功。與商業智能領域不同，當信息安全邁進大數據時代，數據量大幅上升，數據異構，不同廠商對同一個文件的報警不同，如果直接對其進行分析很難產生效果。另外，在商業智能領域，越是重復出現的信息越有用，但是在安全領域，經常出現的信息卻被認為是安全文件?！敝軡J為，這是安全廠商的數據挖掘與傳統數據挖掘的最大不同。

只是技術發展一個階段

盡管大數據火熱，但在安全領域，并沒有專門針對大數據安全的產品和解決方案出現?！熬蛧鴥妊邪l水平看，要推出針對大數據安全的解決方案，尚需時日?！壁w糧表示，大數據分析是一件體系化的事情，有能力建設并運營這個平臺的機構“少之又少”，因為平臺建設需要耗費更多資源和財力，大多數企業難以承受。領導廠商可能會建立部分能力，用戶可能會選擇跟安全服務提供商聯合，或者是在某種程度上的一些外包，來實現自己的既定目標。

此外趙糧稱，專門針對大數據的解決方案和產品意義不大，因為不會出現一個像防火墻那樣產品化的大數據分析產品，不會是用戶只需要輸入數據就能獲得分析的結果。這種情況不會出現。趙糧表示：“歸根結底，安全是人和人的對抗，所以永遠無法用產品來搞定?！?/span>

對于當前一些SIEM廠商聲稱能夠在大數據時代有效查找APT攻擊，MacDonald也表示懷疑。他認為，目前的SIEM產品無法處理這么大的工作量，大多數SIEM產品提供接近實時數據，但只能處理規范化數據，還有些SIEM產品能夠處理大量原始交易數據，但無法提供實時情報信息。

一個技術能夠生存的前提是能夠帶來實實在在的價值，如果對它的投入產出達不到預期，企業對這項技術的關注度就會下降，人們就會從開始接受、正視現實，變成有點失望，最終徹底失望?！暗浆F在為止，雖然人們給予大數據很多期望，但是沒有一個產品、顧問或者使用者能夠證實我用這個技術到底找出了哪些APT攻擊，解決了什么樣的業務問題?！壁w糧稱，“所以，大數據分析對解決安全問題能夠起到多大的效果，誰也說不準。隨著技術向前發展，大數據分析也只能在一兩年之內起到安全防護作用?！保ㄎ恼聛碜?CDA數據分析師培訓官網）