當前位置:首頁 > 物聯(lián)網(wǎng) > 智能應用
[導讀]過去的一年,整個IT領域都在談論大數(shù)據(jù),大數(shù)據(jù)甚至被認為是可以比肩互聯(lián)網(wǎng)革命的整個信息產(chǎn)業(yè)的又一次發(fā)展高峰?,F(xiàn)在是大數(shù)據(jù)時代,因為數(shù)據(jù)量在爆炸式增長——近兩年所產(chǎn)生的數(shù)據(jù)量相當于2010年以前整個

過去的一年,整個IT領域都在談論大數(shù)據(jù),大數(shù)據(jù)甚至被認為是可以比肩互聯(lián)網(wǎng)革命的整個信息產(chǎn)業(yè)的又一次發(fā)展高峰。現(xiàn)在是大數(shù)據(jù)時代,因為數(shù)據(jù)量在爆炸式增長——近兩年所產(chǎn)生的數(shù)據(jù)量相當于2010年以前整個人類文明產(chǎn)生的數(shù)據(jù)量總和;而且數(shù)據(jù)來源極大豐富,語音、視頻、圖像等非結(jié)構(gòu)化數(shù)據(jù)所占比例逐漸增大。海量的數(shù)據(jù)與我們的生活息息相關(guān):互聯(lián)網(wǎng)行為記錄,地理位置記錄,消費信息記錄等等,人們的行為細節(jié)和隱私無一遺漏。同樣,大數(shù)據(jù)對信息安全影響深刻,各種網(wǎng)絡行為、日志都被記錄下來,從而發(fā)現(xiàn)潛在的安全風險。

大數(shù)據(jù)對信息安全影響深刻,各種網(wǎng)絡行為,日志都被記錄下來,從而發(fā)現(xiàn)潛在的安全風險

發(fā)覺潛在的威脅——大數(shù)據(jù)的這種能力對今天的信息安全防范意義重大。我們知道,高級持續(xù)性威脅(AdvancedPersistentThreat,APT)是如今企業(yè)、政府機構(gòu)信息安全面臨的最大威脅。在APT攻擊當中,黑客以竊取核心資料為目的,往往經(jīng)過長期的經(jīng)營與策劃,網(wǎng)絡攻擊和入侵行為具有高度的隱蔽性。APT攻擊的關(guān)鍵在于黑客隱匿自己,針對特定對象,長期、有計劃性和組織性地竊取數(shù)據(jù)。這樣的“網(wǎng)絡間諜”行為,對網(wǎng)絡安全系統(tǒng)提出更高的要求,一般的防范手段難以發(fā)現(xiàn)。

APT攻擊緣何難防?

APT攻擊行為具有以下特點:首先是目標性強,APT攻擊往往針對具體的目標(企業(yè)、組織甚至是國家)進行,目的是獲取某一類重要信息;其次是手段先進,APT攻擊會利用多種攻擊手段,包括各類零日漏洞和其他的網(wǎng)絡入侵技術(shù),有時候甚至用到社會工程學方法;第三是持續(xù)性強,有的APT攻擊會持續(xù)數(shù)年之久,攻擊者不斷嘗試各種攻擊手段,以及在滲透到網(wǎng)絡內(nèi)部后長期蟄伏,不斷收集各種信息,直到收集到重要情報;第四是危險性高,APT攻擊主要針對國際巨頭企業(yè)、國家重要基礎設施和單位進行,包括能源、電力、金融、國防等關(guān)系國計民生以及國家核心利益的基礎設施。

APT攻擊緣何難防?用中國一句老話來講叫做:“不怕賊偷,就怕賊惦記。”攻防雙方的信息不對稱性,隱蔽性和持續(xù)性是APT攻擊具有的最大的威脅。請看兩個典型的攻擊案例(來自網(wǎng)絡):

1、RSASecureID竊取攻擊

攻擊者給RSA的母公司EMC的4名員工發(fā)送了惡意郵件。郵件標題為“2011RecruitmentPlan”,寄件人是webmaster@Beyond.com,正文寫著“Iforwardthisfiletoyouforreview.Pleaseopenandviewit.”,里面有個EXCEL附件名為“2011Recruitmentplan.xls”。

其中一位員工感興趣并將其從垃圾郵件中取出來閱讀,殊不知此電子表格其實含有當時最新的AdobeFlash的0day漏洞(CVE-2011-0609)。這個Excel打開后啥也沒有,除了在一個表單的第一個格子里面有個“X”,而這個叉實際上就是內(nèi)嵌的一個Flash,該主機被植入臭名昭著的PoisonIvy遠端控制工具,并開始自BotNet的C&C服務器(位于good.mincesur.com)下載指令進行任務。

首批受害的使用者并非“位高權(quán)重”人物,緊接著相關(guān)聯(lián)的人士包括IT與非IT等服務器管理員相繼被黑。RSA發(fā)現(xiàn)開發(fā)用服務器(Stagingserver)遭入侵,攻擊方隨即進行撤離,加密并壓縮所有資料(都是rar格式),并以FTP傳送至遠端主機,又迅速再次搬離該主機,清除任何蹤跡,在拿到了SecurID的信息后,攻擊者就開始對使用SecurID的公司(例如上述防務公司等)進行攻擊了。

2、震網(wǎng)攻擊

遭受震網(wǎng)病毒攻擊的核電站計算機系統(tǒng)實際上是與外界物理隔離的,理論上不會遭遇外界攻擊。堅固的堡壘只有從內(nèi)部才能被攻破,超級工廠病毒也正充分地利用了這一點。超級工廠病毒的攻擊者并沒有廣泛的去傳播病毒,而是針對核電站相關(guān)工作人員的家用電腦、個人電腦等能夠接觸到互聯(lián)網(wǎng)的計算機發(fā)起感染攻擊,以此為第一道攻擊跳板,進一步感染相關(guān)人員的U盤,病毒以U盤為橋梁進入“堡壘”內(nèi)部,隨即潛伏下來。病毒很有耐心地逐步擴散,利用多種漏洞,包括當時的一個0day漏洞,一點一點的進行破壞。這是一次十分成功的APT攻擊,而其最為恐怖的地方就在于極為巧妙地控制了攻擊范圍,攻擊十分精準。

從以上兩個典型的APT攻擊案例中可以看出,對于APT攻擊,現(xiàn)代安全防御手段統(tǒng)統(tǒng)失效,零日漏洞和加密通信躲過了以特征匹配為手段的主流網(wǎng)絡安全產(chǎn)品,長期的持續(xù)性攻擊讓基于時間點的檢測技術(shù)難以奏效;以內(nèi)部機器為跳板,繞過邊界防御,利用內(nèi)部可信的安全策略。APT使用的這些方法繞過了傳統(tǒng)安全方案,并長時間地潛伏在系統(tǒng)中。

大數(shù)據(jù)分析有效防御APT攻擊

企業(yè)的計算機網(wǎng)絡系統(tǒng)產(chǎn)生大量日志數(shù)據(jù),包括上述核電站計算機系統(tǒng),只是與公網(wǎng)物理隔離,內(nèi)部依然是一個龐大的網(wǎng)絡。大數(shù)據(jù)可以針對所有的系統(tǒng)運行記錄進行分析,可以彌補時間點檢測技術(shù)的不足,發(fā)現(xiàn)網(wǎng)絡攻擊的蛛絲馬跡。在這個基礎上,結(jié)合傳統(tǒng)的檢測技術(shù),可以組成基于記憶的檢測系統(tǒng),這是由國內(nèi)安全廠商啟明星辰提出的思路。

RSA曾提出過三種方法應對APT攻擊:一是利用虛擬化帶來的預防機制;二是一旦出現(xiàn)任何攻擊,可將對服務器進行重置;三是使用虛擬監(jiān)控,利用虛擬化平臺搜集數(shù)據(jù),并進行分析。事實上,通過預防機制應對APT,只能對已知威脅有效;發(fā)現(xiàn)攻擊對服務器重置屬于補救措施,亡羊補牢只是為了降低損失;利用虛擬化平臺收集數(shù)據(jù)并分析,是基于大數(shù)據(jù)技術(shù)的方法,也是應對APT攻擊的關(guān)鍵。

應用大數(shù)據(jù)分析,需要強大的數(shù)據(jù)采集平臺,以及強大的數(shù)據(jù)分析處理能力。最理想的情況是建立全球化的數(shù)據(jù)分析引擎,在全球范圍內(nèi)進行相關(guān)數(shù)據(jù)的關(guān)聯(lián)性分析。這樣就能克服信息分布孤島帶來的調(diào)查取證難的問題,更容易發(fā)現(xiàn)攻擊。針對具體的網(wǎng)絡、系統(tǒng)和應用的運行數(shù)據(jù)采集分析,捕獲、挖掘、修復漏洞;對全球已經(jīng)發(fā)生以及正在發(fā)生的網(wǎng)絡攻擊行為進行記錄,并將這些海量的數(shù)據(jù)經(jīng)過多維度的整合分析,自動生成漏洞庫、黑客們行為特征等數(shù)據(jù)庫。對于具體的網(wǎng)絡系統(tǒng),全球化的安全監(jiān)測,運用大數(shù)據(jù)技術(shù),可以提前發(fā)現(xiàn)攻擊,提前阻止。

對于企業(yè)、組織機構(gòu)來講,首先要把信息收集起來進行識別,包括日志全采集,網(wǎng)絡監(jiān)控,然后把所有的信息放到統(tǒng)一的監(jiān)控平臺,建立全自動化的響應系統(tǒng)。因為大數(shù)據(jù)需要一個中控系統(tǒng)把所有內(nèi)部的、外部的信息收集起來進行分析。

應用大數(shù)據(jù)分析,需要強大的數(shù)據(jù)采集平臺,以及強大的數(shù)據(jù)分析處理能力

總結(jié)起來,大數(shù)據(jù)并不針對APT攻擊中的某個步驟,而是通過全面收集重要終端和服務器上的日志信息以及采集網(wǎng)絡設備上的原始流量,進行集中分析和數(shù)據(jù)挖掘。發(fā)現(xiàn)APT攻擊的蛛絲馬跡后,通過全面分析海量數(shù)據(jù),從而還原整個APT攻擊場景。面向全局而非局部,這是目前大多數(shù)廠商采用的思路。

本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務中斷的風險,如企業(yè)系統(tǒng)復雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務引領增長 以科技創(chuàng)新為引領,提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉