大数据安全分析(分析篇)
新一年大数据安全形势严峻2024年数据安全风险分析
黑客利用泄露的个人信息进行身份盗窃, 造成财务和信用损失。
恶意攻击
针对个人的恶意攻击,如网络钓鱼、勒索 软件等,导致隐私泄露和财产损失。
企业敏感信息泄露
商业机密泄露
企业内部敏感信息如商业计划、客户数据等遭泄 露,导致竞争优势丧失。
供应链风险
供应链中的安全漏洞导致企业数据泄露,影响业 务连续性和客户关系。
03
数据泄露风险
内部泄露
员工操作失误
员工在处理敏感数据时,可能会 因为操作失误或疏忽而导致数据 泄露,如错误地发送邮件、误操
作数据库等。
内部恶意行为
内部员工可能出于个人利益或恶意 目的,故意泄露公司敏感数据,如 将数据出售给竞争对手或用于非法 用途。
权限管理不当
企业内部权限管理不严格,可能导 致员工能够访问超出其职责范围的 数据,从而增加数据泄露的风险。
不合规风险
违反法律法规
数据泄露风险
由于技术漏洞或人为因 素,导致用户数据泄露 ,违反相关法律法规, 如《数据安全法》等。
非法数据交易
未经用户同意,私自收 集、交易用户数据,触 犯《个人信息保护法》 等相关法律。
跨境数据传输违规
未按照相关法规要求进 行跨境数据传输,可能 导致数据泄露和国家安 全问题。
采用先进的防火墙、入侵检测系统等网络安全技术,防止外部攻击和数据泄露。
数据加密与保护
对重要数据和敏感信息进行加密存储和传输,确保数据在传输和存储过程中的安全性。
应用安全控制
加强对应用程序的安全控制,包括输入验证、权限管理等,防止恶意攻击和数据篡改。
完善数据安全管理制度
01
制定详细的数据安 全管理制度
数据被篡改或破坏
大数据与云计算的安全问题及解决思路分析
大数据与云计算的安全问题及解决思路分析大数据和云计算是当今数字化时代的重要组成部分,它们为企业提供了无限的商机和创新可能。
随着数据规模的不断扩大和数据存储方式的改变,大数据和云计算也面临着安全问题的挑战。
本文将就大数据与云计算的安全问题及解决思路进行分析。
一、大数据与云计算的安全问题1. 数据隐私泄露:大数据中包含着大量敏感信息,一旦泄露将会给个人和企业带来不可挽回的损失。
2. 数据完整性:大数据和云计算技术中的信息可能被篡改或者毁坏,从而影响数据的完整性和可信度。
3. 数据存储安全:大数据和云计算通常把数据存储在分布在不同地理位置的服务器上,因此数据存储安全成为一大难题。
4. 访问控制:在大数据和云计算环境下,如何有效地管理用户对数据的访问权限成为一大挑战。
5. DDoS 攻击:大数据和云计算平台容易成为分布式拒绝服务(DDoS)攻击的目标,一旦遭受攻击将会造成严重的服务中断和数据泄露。
1. 强化数据加密:在大数据和云计算环境下,对敏感数据进行加密是保障数据安全的首要手段。
通过使用AES、RSA、SHA等加密算法,可以有效地保护数据不被恶意获取。
2. 完善访问控制:建立严格的访问控制制度,设定不同权限的用户角色,对访问数据进行严格的管控,从而降低数据泄露的风险。
3. 引入区块链技术:区块链技术可以有效地保障数据的不可篡改性和完整性,通过区块链技术可以实现数据的安全存储和交换。
4. 加强安全审计:建立完善的安全审计系统,对数据的使用和访问进行全面监控,及时发现异常行为和安全风险,从而做出相应的反应和防范措施。
5. 配备安全设备:大数据和云计算平台配备专业的安全设备,如防火墙、入侵检测系统、安全网关等,对网络通信进行实时监控和防护。
6. 做好数据备份:对于大数据和云计算平台中的重要数据进行定期的备份,并将备份数据存储在安全可靠的地方,以防止意外数据丢失和毁坏。
大数据与云计算是当前信息化进程的重要产物,但是其安全问题也备受关注。
年度总结大数据分析(3篇)
第1篇随着信息技术的飞速发展,大数据分析已经成为企业提升竞争力、优化决策的重要手段。
在过去的一年里,我部门在大数据分析领域取得了显著成果,现将2023年度工作总结如下:一、工作回顾1. 数据采集与处理2023年,我们进一步完善了数据采集体系,通过多种渠道收集了大量内外部数据。
在数据处理方面,我们采用了先进的数据清洗、整合、转换等技术,确保数据质量,为后续分析提供可靠依据。
2. 数据分析与挖掘针对业务需求,我们开展了多维度、多层次的数据分析。
通过对用户行为、市场趋势、业务流程等方面的深入挖掘,为企业提供了有价值的数据洞察。
3. 模型开发与应用在数据挖掘的基础上,我们开发了多个数据模型,如用户画像、预测模型、推荐系统等。
这些模型在实际业务中得到了广泛应用,有效提升了企业运营效率。
4. 数据可视化为了更好地展示分析结果,我们运用数据可视化技术,将复杂的数据转化为直观、易懂的图表,便于企业领导和业务部门快速理解分析结论。
二、工作亮点1. 成功应用于多个业务场景本年度,大数据分析在市场营销、风险控制、客户服务等多个业务场景中发挥了重要作用,为企业创造了显著价值。
2. 提升数据质量通过优化数据采集和处理流程,我们有效提升了数据质量,为后续分析提供了有力保障。
3. 加强团队建设我们注重团队建设,引进和培养了一批优秀的数据分析人才,为部门发展奠定了坚实基础。
三、展望未来1. 深化数据分析应用在2024年,我们将继续深化大数据分析在业务场景中的应用,为企业创造更多价值。
2. 探索新技术随着人工智能、区块链等新技术的不断发展,我们将积极探索这些技术在数据分析领域的应用,提升分析能力。
3. 加强跨部门协作我们将加强与各业务部门的沟通与协作,共同推进大数据分析在企业的广泛应用。
总之,2023年我部门在大数据分析领域取得了丰硕成果。
在新的一年里,我们将继续努力,为企业的可持续发展贡献力量。
第2篇随着信息技术的飞速发展,大数据已经成为企业提升竞争力、优化决策的关键要素。
综合评估大数据分析报告(3篇)
第1篇一、引言随着信息技术的飞速发展,大数据已成为当今社会的一个重要特征。
大数据分析作为一种新兴的技术手段,被广泛应用于各个领域,如金融、医疗、教育、交通等。
本报告旨在对大数据分析进行综合评估,分析其优势、挑战以及未来发展趋势,为相关企业和机构提供决策参考。
二、大数据分析的定义与特点1. 定义大数据分析是指利用先进的数据处理技术和算法,对海量数据进行挖掘、分析和解读,从而发现有价值的信息和知识的过程。
2. 特点(1)数据量大:大数据分析处理的数据规模巨大,通常达到PB级别。
(2)数据多样性:数据类型丰富,包括结构化数据、半结构化数据和非结构化数据。
(3)数据价值密度低:在大量数据中,有价值的信息往往占比很小。
(4)实时性:大数据分析需要实时处理数据,以满足快速决策的需求。
三、大数据分析的优势1. 提高决策效率通过对海量数据的分析,企业可以快速发现市场趋势、客户需求,从而提高决策效率。
2. 降低运营成本大数据分析可以帮助企业优化资源配置,降低运营成本。
3. 提升客户满意度通过分析客户数据,企业可以更好地了解客户需求,提供个性化的服务,提升客户满意度。
4. 创新商业模式大数据分析可以为企业带来新的商业模式,如精准营销、智能推荐等。
四、大数据分析的挑战1. 数据质量数据质量是大数据分析的基础,数据不准确、不完整、不一致等问题都会影响分析结果。
2. 技术挑战大数据分析需要处理海量数据,对计算能力、存储能力、算法等方面提出了很高的要求。
3. 法律法规大数据分析涉及到个人隐私、数据安全等问题,需要遵守相关法律法规。
4. 人才短缺大数据分析需要专业人才,但目前市场上相关人才较为短缺。
五、大数据分析的应用案例1. 金融领域金融机构利用大数据分析进行风险评估、欺诈检测、客户关系管理等。
2. 医疗领域医疗机构利用大数据分析进行疾病预测、药物研发、健康管理等。
3. 交通领域交通管理部门利用大数据分析进行交通流量预测、路况监测、智能调度等。
中国大数据安全指数分析报告
中国大数据安全指数分析报告一大数据安全指数:总体情况本报告使用由安全制度、安全产业、安全能力、安全生态4项一级指标、12项二级指标、14项三级指标构成的大数据安全指数评价体系,全面评估地方大数据安全政策、法规支撑能力,信息安全收入与网络安全能力,漏洞侦察与应用加固能力,以及安全风险态势感知、新基建竞争力、安全设备能力等,通过国家官方统计数据、互联网大数据、权威研究机构发布的行业数据等完成数据收集,运用无量纲化、指标权重赋值、加权平均分析等方法,对全国31个省、自治区、直辖市的大数据安全情况进行评价,进而得出测评结果。
(一)各地区大数据安全指数呈阶梯发展特征根据测评结果,2020年,北京、广东、浙江等地区大数据安全指数处于领先水平,其中北京大数据安全指数得分最高,为69.62,遥遥领先,在安全产业、安全能力和安全生态等方面表现突出,显示出强大的综合安全发展水平(见表1)。
31个地区的大数据安全指数分为四个梯队:第一梯队大数据安全指数得分区间为32.53~69.62,包括北京、广东、浙江、上海、江苏5个地区;第二梯队大数据安全指数得分区间为22.72~29.96,包括贵州、山东、湖北、四川、重庆、辽宁、天津、福建等8个地区;第三梯队大数据安全指数得分区间为15.27~21.27,包括河北、安徽、陕西、广西等8个地区;第四梯队大数据安全指数得分区间为7.42~14.42,包括江西、黑龙江、吉林等10个地区。
可以看出,各地区大数据安全指数的阶梯发展特征明显。
|Excel下载表1 2020年31个地区大数据安全指数评价结果(二)东部地区大数据安全发展领先全国分区域来看,东部10个地区中有8个地区大数据安全指数得分高于平均值,整体发展处于领先水平;中部地区大数据安全指数得分只有湖北高于平均值,但整体得分均衡,潜力较大;在西部地区中,仅有贵州、四川、重庆3个地区大数据安全指数得分高于平均值,贵州表现突出,排名第6,领衔西部地区大数据安全发展,四川、重庆进入前10;东北地区只有辽宁大数据安全指数得分高于平均值。
消防安全大数据分析报告(3篇)
第1篇一、报告概述随着城市化进程的加快和经济的快速发展,消防安全问题日益突出。
为提高消防安全管理水平,预防和减少火灾事故的发生,本报告通过对消防安全大数据的收集、整理和分析,旨在揭示消防安全现状、趋势及存在的问题,为相关部门制定消防安全政策提供数据支持。
二、数据来源与处理1. 数据来源:- 各级消防部门的火灾事故统计报表- 消防安全检查记录- 社会公众消防安全意识调查数据- 消防设施设备运行数据- 消防安全教育培训数据2. 数据处理:- 对原始数据进行清洗,剔除无效和错误数据- 对数据进行分类整理,建立数据仓库- 运用统计学和数据分析方法,对数据进行挖掘和建模三、消防安全现状分析1. 火灾事故发生情况:- 近年来,火灾事故呈上升趋势,尤其在高层建筑、地下空间和人员密集场所火灾事故频发。
- 火灾事故发生的主要原因包括电气故障、用火不慎、易燃易爆物品管理等。
2. 消防安全检查情况:- 消防安全检查覆盖率逐年提高,但仍存在部分单位未按要求进行消防设施设备维护保养的问题。
- 检查发现的主要问题包括消防设施设备损坏、疏散通道堵塞、消防安全管理制度不健全等。
3. 消防安全意识调查:- 公众消防安全意识普遍提高,但仍有部分人群对消防安全知识掌握不足。
- 调查发现,公众对火灾逃生、灭火器使用等知识的掌握程度有待提高。
四、消防安全趋势分析1. 火灾事故发生趋势:- 随着城市化进程的加快,火灾事故发生的风险将进一步提高。
- 高层建筑、地下空间等复杂场所火灾事故发生率将上升。
2. 消防安全管理趋势:- 消防安全管理将更加重视科技手段的应用,如大数据分析、人工智能等。
- 消防安全教育培训将更加注重实效性,提高公众消防安全意识。
五、存在问题及对策1. 存在问题:- 消防安全基础设施建设滞后,部分老旧小区、农村地区消防设施不完善。
- 公众消防安全意识薄弱,火灾事故预防和应对能力不足。
- 消防安全管理体制不健全,部分单位消防安全责任落实不到位。
大数据环境下的网络安全挑战与对策分析
大数据环境下的网络安全挑战与对策分析网络安全是指在互联网环境中保护计算机系统、网络基础设施、数据和用户免受未经授权访问、损坏或窃取的威胁。
随着大数据时代的到来,大数据环境下的网络安全面临着新的挑战和对策分析。
本文将对大数据环境下的网络安全挑战进行分析,并提出相应的对策。
首先,大数据环境下的网络安全面临的首要挑战是数据的安全性。
大数据技术的发展带来了海量数据的采集、存储和处理,其中包含着大量的敏感信息。
保护这些数据的安全性变得至关重要。
为了应对这一挑战,可以采取以下对策:1. 加强数据的加密。
对于存储在大数据环境中的敏感数据,应采用先进的加密算法,确保数据在传输和存储过程中的安全。
同时,对于访问大数据的用户,也要实施身份验证和访问控制,确保只有授权的用户才能访问敏感数据。
2. 建立数据备份和灾备机制。
大数据环境中的数据往往是不可替代的,一旦遭到破坏或丢失,将造成巨大的损失。
为了防止数据丢失,必须建立完备的数据备份和灾备机制,确保数据可以及时恢复。
其次,大数据环境下的网络安全还面临着隐私保护的挑战。
随着大数据的采集和分析,用户的隐私信息暴露的风险也越来越高。
为了应对这一挑战,可以采取以下对策:1. 强化隐私保护法律法规。
政府应加强隐私保护方面的立法,并对违反隐私保护法规的行为进行严厉处罚,以提高隐私保护意识和抑制滥用数据的行为。
2. 采用数据匿名化技术。
在进行大数据分析时,可以采用数据匿名化的方式对个人隐私信息进行保护,确保分析过程中不会暴露个人身份和敏感信息。
此外,大数据环境下的网络安全还面临着高级持续性威胁(APT)的挑战。
APT是指持续、有组织和有计划地对目标系统进行攻击的威胁行为。
为了应对这一挑战,可以采取以下对策:1. 建立完备的安全防护体系。
大数据环境中的安全防护措施包括安全设备的部署、安全策略的制定、日志分析和监控等。
通过建立完备的安全防护体系,能够及时发现并应对APT攻击,减少损失。
食品安全大数据分析报告(3篇)
第1篇一、引言随着我国经济的快速发展和人民生活水平的不断提高,食品安全问题日益受到广泛关注。
食品安全不仅关系到人民群众的身体健康和生命安全,也关系到社会的稳定和经济的健康发展。
近年来,食品安全事件频发,食品安全问题已成为社会热点。
为了更好地保障食品安全,提高食品安全监管水平,本文通过对食品安全大数据的分析,旨在揭示食品安全问题的现状、趋势及原因,为相关部门制定有效的食品安全监管策略提供数据支持。
二、数据来源与处理1. 数据来源本文所使用的数据主要来源于以下几个方面:(1)国家食品安全监测数据:包括国家食品安全风险监测数据、国家食品安全监督抽检数据等。
(2)地方食品安全监测数据:包括各省市食品安全监测数据、食品安全监督抽检数据等。
(3)互联网数据:包括新闻报道、网络论坛、社交媒体等。
(4)企业内部数据:包括企业生产、销售等环节的数据。
2. 数据处理为了确保数据的准确性和可靠性,我们对原始数据进行了以下处理:(1)数据清洗:删除重复数据、异常数据,确保数据的一致性和准确性。
(2)数据整合:将不同来源的数据进行整合,形成统一的食品安全数据集。
(3)数据标准化:对数据格式进行标准化处理,方便后续分析。
三、数据分析1. 食品安全问题现状根据数据分析,我国食品安全问题主要集中在以下几个方面:(1)食品添加剂滥用:部分食品在生产过程中过度使用食品添加剂,如防腐剂、色素、香精等。
(2)农药残留超标:部分农产品农药残留超标,对人体健康造成潜在危害。
(3)兽药残留:部分畜禽产品兽药残留超标,影响人体健康。
(4)食品生产加工环节污染:部分食品在生产加工过程中存在环境污染问题。
2. 食品安全问题趋势通过对食品安全大数据的分析,我们发现以下趋势:(1)食品安全问题日益复杂:食品安全问题涉及的领域越来越广泛,涉及食品种类、生产环节、污染途径等方面。
(2)食品安全问题区域化:食品安全问题在不同地区呈现不同特点,需要针对不同地区制定相应的监管策略。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
这一篇应该是比较容易引起争议的,大家现在乐于说看见(visibility )的力量,如何看到却是一个尚在探索中的问题。
数据是看到的基础条件,但是和真正的看见还有巨大的差距。
我们需要看到什么?什么样的方法使我们真正看到?安全分析和事件响应网络空间的战斗和现实世界有很大的相似性,因此往往可以进行借鉴。
美国空军有一套系统理论,有非常的价值,值得深入思考并借鉴,它就是OODA周期模型:观察(Observe):实时了解我们网络中发生的事件。
这里面包括传统的被动检测方式:各种已知检测工具的报警,或者来自第三方的通报(如:用户或者国家部门)。
但我们知道这是远远不够的,还需要采用更积极的检测方式。
即由事件响应团队基于已知行为模式、情报甚至于某种灵感,积极地去主动发现入侵事件。
这种方式有一个很炫的名字叫做狩猎。
定位(Orient):在这里我们要根据相关的环境信息和其他情报,对以下问题进行分析:这是一个真实的攻击吗?是否成功?是否损害了其它资产?攻击者还进行了哪些活动?决策(Decision):即确定应该做什么。
这里面包括了缓解、清除、恢复,同时也可能包括选择请求第三方支持甚至于反击。
而反击往往涉及到私自执法带来的风险,并且容易出错伤及无辜,一般情况下不是好的选择。
行动(Action):能够根据决策,快速展开相应活动。
OODA模型相较传统的事件响应六步曲(参见下图),突出了定位和决策的过程,在现今攻击技术越来越高超、过程越来越复杂的形势下,无疑是必要的:针对发现的事件,我们采取怎样的行动,需要有足够的信息和充分的考量。
在整个模型中,观察(对应下文狩猎部分)、定位与决策(对应下文事件响应)这三个阶段就是属于安全分析的范畴,也是我们下面要讨论的内容,附带地也将提出个人看法,关于大数据分析平台支撑安全分析活动所需关键要素。
狩猎(hunting)近两年狩猎的概念在国际上比较流行,被认为是发现未知威胁比较有效的方式。
如何做到在信息安全领域的狩猎,也是和威胁情报一样热门的话题。
和数据收集阶段一样,狩猎中也需要“以威胁为中心”的意识。
我们需要了解现今攻击者的行为模式,需要开发有关潜在攻击者的情报(无论是自身研究或者第三方提供),同时狩猎团队也需要评估内部项目和资源,以确定哪些是最宝贵的,并假设攻击者要攻陷这些资源为前提进行追捕。
单纯地依赖这个原则,也许并不能让你真正拥有“visibility”的能力,我们还需要接受更多的挑战,包括传统基于攻击特征的思维方式必须改变,建立新的思维方式是成功的基础。
1、从线索出发,而不是指标或签名:安全分析,注重相关性,然后再考虑确定性,这背后有其深层的原因。
误报和漏报是一对不可完全调和的矛盾,虽然在个别方面存在例外(基于漏洞的签名往往准确率较高,同时也可以对抗很多逃逸措施,是检测从IDS时代走向IPS的关键技术前提)。
在发现未知的旅途中,如果直接考虑确定性证据,会错失很多机会。
因此在狩猎的场景之下,安全分析员需要的是线索,线索只能代表相关性,而不是确定性,安全分析的过程需要将一连串的线索穿起来,由点及面进而逼近真相。
举个例子:超长会话连接很难确定是攻击但和CnC往往有关联,一些分析人员就会选择它作为起点的线索。
如果从这点出发、更多的线索出现了,连接的域名是最近新注册的,并且访问量很少,还有就是流量在80端口却不是标准的HTTP协议等,随着不断的发现,确定性在增加,最终通过进一步的方式我们可以确认攻击行为。
2、换个角度看问题:找寻攻击相关的行为模式,可以变换多个角度,无需一直从最直接的方面着手。
例如在CnC检测上,我们可以采用威胁情报或者远控工具的流量特征这样直接的方法,但也可以考虑排查之前数据中没有出现过的新域名,或者某些域名对应IP快速变化的情况,甚至可以采用机器学习的方式来发现那些不一样的域名,这些都可能是有效的方法,可以在不同情况下分别或组合使用。
3、白名单及行为基线:它们都是先定义什么是正常,由此来判断什么是不好的。
业界某些厂商倡导的白环境或者软件白名单,都是这个思想的一种具体实践。
在采用这个方法建立基线时,还是需要从威胁的角度出发,这样检测灵敏度较高并且发现异常后的指向性也较好。
例如针对整体流量突变的监控,和专门对ARP流量(内部的ARP攻击有关)或 DNS 流量(防火墙一般不禁止,是数据外泄的通道之一)分别进行监控,有着完全不同的效果。
4、统计概率:过去在讨论利用基线的方式发现异常时,经常被提出的问题是:“如果学习期间,恶意行为正在发生,学习的基线价值何在呢?”。
这里面我们如果了解一些统计概率方面的知识,就知道可以利用均值和标准差这种方式来解决问题。
统计概率知识在安全分析中的作用很大,尤其是在机器学习和安全分析结合时。
这部分不是我擅长的专业领域,不再多说。
还想一提的是,概率知识有时和人的直觉往往有冲突,所以为了正确的分析判断,需要了解基本的概率知识。
有一个小题目,大家可以进行自测一下:某种流感测试方法,如果已患此流感,那么测试结果为阳性的概率为95%,问测试阳性者患病概率是多少。
估计没有掌握贝叶斯方法的人,很难回答出正确的答案。
也许通过这个问题,会让没有接触过此方面知识的人,感受到其必要性。
水无常式,法无定则,在信息安全过程中狩猎也是如此,这里只是稍微做了一些介绍,也许已经给大家一种印象:狩猎是一项充满挑战、极具难度的活动。
这种认识无疑是正确的,幸运的是有了安全分析产品的存在,使其难度有了大幅的降低,在本文最后部分会介绍这方面的信息。
事件响应事件响应不是新鲜事物,很早就存在了,但这并不意味着这方面的知识与技能已被正确掌握。
即使在被动响应为主的时代,因为缺乏必要的安全分析,难以对事件进行定位并确定正确的响应活动,从而很多时候无法对已发现的攻击做到干净彻底地清除,更不要说进一步完善防御措施了。
下面介绍一个我比较认同的、行动前的分析过程[1]:1、确认是否为误报:这是需要首先回答的问题。
在这个行业,还不知道有什么办法可以消失误报,同时保证没有漏报。
既然误报总是存在,并且在某些情况下可能比例还是比较高的,我们需要尽快的区分误报和真实的报警。
报警相关的上下文信息、PCAP包等信息对识别误报非常有用。
2、确认攻击是否奏效:很多攻击尝试都可能失败,特别是一些自动化工具,它们不区分攻击目标的OS、软件类型和版本等。
此类报警数量往往会很多,以至于有些分析师会倾向于检测攻击链的下一步。
但是有些时候我们无法完全避免,例如针对driven-by下载或者水坑攻击的报警,分析师是需要了解浏览器是否真的访问、下载了恶意代码。
这时他们需要结合上一阶段相似的上下文等信息来进行判断。
3、确定是否损害了其它资产:如果确认攻击成功,那么必须划定事件的影响范围,即建立受影响资产清单,其中包括组织IT空间的任何事物:计算机、网络设备、用户账号、电子邮件地址、文件或者目录等任何攻击者希望攻击、控制或窃取的IT资产。
例如你发现攻击者可能从失陷的设备获得了一份用户名和密码的名单,我们就需要找到可能影响的主机,建立清单,进行排查。
此资产清单是一个不断完善、变化的,在分析过程中可能有不断的删除或添加。
4、确定攻击者的其它活动:在调查分析中,我们需要回答的不仅是去了哪儿,还需要了解何时做了何事。
如果发现的是攻击后期的报警,那么这点就更为重要,我们需要了解从第一次漏洞利用尝试开始和攻击相关的所有警报,了解我们被渗入的脆弱点,确认失陷的资产。
步骤3、4往往是交互进行的。
5、确定如何应对这种攻击:事件响应策略是个非常大的话题,因为没有一个标准可以适合所有的情况,不同类型的事件需要不同的响应计划。
即使一个管理良好的应急中心有一批提前准备好的应急响应计划,但事到临头往往还是要进行调整,这时采用模块化的方法也许是一个好的选择。
从资深的IR人员了解到的信息,这个过程需要高度的技巧和经验,也许可以考虑找一个有这方面经验的顾问来帮助、指导。
这部分就是OODA周期中的定位、决策的过程了,如果不考虑狩猎这种积极的检测方式,它差不多就是安全分析师的全部工作了。
安全分析平台很大程度上,一个组织检测和响应安全事件的能力取决于其工具的质量,一个好的安全分析平台有可能数十倍或百倍提高分析师的效率,但遗憾的是,业界满足其需要的产品还非常少,Splunk和Palantir是我看到比较完善的产品。
今年RSA大会上也有更多这方面的厂商出现,但它们还是更多从某一场景的需求开始做起,距离完整的分析平台尚有一段距离。
关于一个好的分析平台需具备的关键特性,在此我提出一些个人看法,欢迎大家来拍砖。
首先需要说明,这里不想涉及底层架构相关的问题,大数据如何存储、备份、索引、计算;如何保证架构的弹性扩展;如何处理非结构化数据等等,这些业界有很多架构设计,流行的如HDP、ELK,也有一些比较小众,但具备自身特定的优势的方案,这里不再多讲。
重点从业务层面提出满足分析师需要的关键特性。
1、集成相对丰富的分析模型:狩猎需要基于已知攻击行为模式去查找线索,如果作为一个分析平台可以默认集成这样的模型,那么对于分析师来说,入门的成本将会极大的降低。
如果模型足够丰富,则会超过一些资深分析师所掌握的技能,这无疑会成为平台最大的价值点。
2、提供接口供用户自定义:这和前两天阿里安全峰会上道哥提到非常一致,相信总会有人比我们聪明,因此我们需要给用户空间,让他在自己的使用中,可以继续丰富这些模型,或者能够形成更适合行业特点的分析方式,这就需要以开放的心态,和用户一起来共同完善分析能力。
3、集成威胁情报功能:作为以威胁为中心的产品,这是应有之义。
考虑到现今提供威胁情报的厂商,其关键性数据重叠性不高(参考DBIR 2015[2]),就要求分析平台可以集中多个来源的情报数据,较好的支持OpenIOC、STIX等标准。
4、利用数据挖掘降低人的工作量:数据挖掘可以帮助完成一部分人的工作,特别是当分析平台可以自动化识别很多线索的时候,那么数据挖掘就可以根据线索的特定组合判定一个事件,这是我看到它可以提供的一个重要价值点。
根据弓峰敏博士去年ISC大会的演讲以及Cyphort的产品介绍推测,他们利用数据挖掘主要完成的也是这方面的工作。
这里特别想提出一个问题:数据挖掘的局限性在哪儿?Palantir给出了自己的答案,可以作为一个参考[3]。
他们认为某些情况下数据挖掘能做到的只是将一个非常庞大的数据集缩小到一个较小而有意义的集合,让人来分析,因为以下情况机器算法并不适用:The data comes from many disparate sourcesThe data is incomplete and inconsistentYou’re looking for someone or something that doesn’t want to be found, and that can adapt to avoid detection.5、针对工作流程,提供满足场景需要的设计:在安全分析过程中涉及到诸多的场景,不同种类线索的观察分析,事件的确认、影响范围及关联攻击的分析等等。