讓大數(shù)據(jù)成為我們捕捉網(wǎng)絡(luò)安全威脅的眼睛

    最近幾個(gè)月大數(shù)據(jù)的激增人氣再次顯露出來。對(duì)于我們這幫搞技術(shù)的人士而言，數(shù)據(jù)始終是貫穿生活始終的核心價(jià)值所在。但在過去數(shù)年中，它的價(jià)值則變得更加透明。無論是智能手機(jī)、基礎(chǔ)設(shè)施所在地的電網(wǎng)體系還是硅谷新興企業(yè)的運(yùn)作模式，都開始圍繞“數(shù)據(jù)”這一概念大做文章。人民群眾紛紛表示，數(shù)據(jù)代表著新一輪潛在的企業(yè)盈利能力。

    (當(dāng)然，電力仍然是一切的保障。試想我們坐在沒電的辦公室里，盯著手機(jī)上即將歸零的電池剩余，數(shù)據(jù)什么的自然只能是浮云。但這好像跟今天的話題沒啥關(guān)系。)

    幾十年來，數(shù)據(jù)已經(jīng)成為企業(yè)運(yùn)營的潤滑劑與推動(dòng)力。如今，“大數(shù)據(jù)”這一涉及龐大復(fù)雜數(shù)據(jù)合集計(jì)算、整理與分析的模糊概念則帶來新的價(jià)值增長點(diǎn)，并承諾為企業(yè)加速信息向財(cái)富的轉(zhuǎn)化過程。

    原因在于：隨著數(shù)據(jù)量的爆炸式增長，對(duì)其加以利用的可能性也將相應(yīng)提高。數(shù)據(jù)自身與生俱來的關(guān)聯(lián)特性既成為前所未有的發(fā)展機(jī)遇，也帶來了諸多極為罕見的技術(shù)阻礙。

    只要略加分析大家就會(huì)發(fā)現(xiàn)，發(fā)掘數(shù)據(jù)潛能的最大挑戰(zhàn)在于選擇理想的大數(shù)據(jù)解決方案。換言之，我們需要利用大數(shù)據(jù)來實(shí)現(xiàn)大數(shù)據(jù)保護(hù)工作。這跟電影《盜夢空間》的劇情設(shè)定如出一轍利用夢境來改變夢境。

    Seculert公司是一家以色列新興安全企業(yè)，其主要發(fā)展方向是利用大數(shù)據(jù)分析技術(shù)捕捉企業(yè)中的網(wǎng)絡(luò)威脅。今年十月下旬，他們推出了一款名為“SeculertSense”的專有引擎，嘗試?yán)�用AmazonElastic MapReduce從活動(dòng)僵尸網(wǎng)絡(luò)、惡意軟件及日志文件等由客戶上傳到云端的信息中收集數(shù)以TB的數(shù)據(jù)并加以分析。而分析結(jié)果將被傳輸?shù)揭豢罨�于Web的安全專用控制面板當(dāng)中。

    研發(fā)初衷：加快威脅檢測速度、提高防御體系靈活性，使現(xiàn)有安全措施更好地適應(yīng)不斷變化的網(wǎng)絡(luò)威脅并解決日益壯大的外部網(wǎng)絡(luò)企業(yè)活動(dòng)所帶來的安全難題。

    為了了解更多信息，我對(duì)該公司創(chuàng)始人AvivRaff(簡稱AR)與DudiMatot(簡稱DM)進(jìn)行了一次專訪。

    我:Seculert公司是如何建立起來的?

    DM:這家公司于2010年誕生，但我們?cè)谀侵�前就已�?jīng)開始關(guān)注這塊市場了。

    如果把目光投向2000年之初，也就是03到04年之間，那時(shí)候惡意軟件所針對(duì)的還主要是金融類消費(fèi)者。而2006年左右依托僵尸網(wǎng)絡(luò)實(shí)現(xiàn)的信息掃描與拒絕服務(wù)活動(dòng)則成為主流。到了09、10年，攻擊者的目標(biāo)又開始針對(duì)企業(yè)環(huán)境。當(dāng)時(shí)谷歌公司是第一家明確表示自己受到攻擊的企業(yè)，據(jù)說當(dāng)時(shí)的攻擊活動(dòng)來自中國。其后反應(yīng)遭遇侵襲的公司逐漸增加，最終達(dá)到70多家，大部分安全服務(wù)供應(yīng)商都被牽涉其中。

    多數(shù)傳統(tǒng)安全供應(yīng)商只向客戶提供管理政策或者基于簽名的解決方案。他們研發(fā)相關(guān)工具，而客戶則負(fù)責(zé)配置工作。其它的就不用指望了，方案已經(jīng)成形，大家只能祈禱這些產(chǎn)品真有拒敵于千里之外的本事。

    現(xiàn)在黑客們?cè)谌肭制髽I(yè)并獲取專有信息方面的技術(shù)水平已經(jīng)越來越高，因此我們一直在努力收集資料，以揪出那些無法被現(xiàn)有系統(tǒng)所發(fā)現(xiàn)的惡意活動(dòng)。

    目前大多數(shù)遭遇侵襲的企業(yè)尚處于懵懂之中，他們沒有意識(shí)到自己的安全體系已經(jīng)被攻破。就像一群目光短淺的小羊羔，他們躺在舊技術(shù)與舊概念打造的殘舍破窯中，還以為自己非常安全。

    說到這里，我要感謝以大數(shù)據(jù)為代表的云計(jì)算及其它現(xiàn)代技術(shù)。在它們的幫助下，我們才有能力獲取以TB計(jì)算的海量數(shù)據(jù)、以分布式方式通過精心開發(fā)的代碼對(duì)其進(jìn)行處理與關(guān)聯(lián)，并最終拿出復(fù)雜而準(zhǔn)確的分析結(jié)論。

    我：您的公司非常重視企業(yè)網(wǎng)絡(luò)之外的安全保護(hù)工作。我想自帶設(shè)備趨勢正是成就這一設(shè)想的重要因素。

    AR:現(xiàn)在企業(yè)員工會(huì)以遠(yuǎn)程方式接入內(nèi)部網(wǎng)絡(luò)從家中、在旅途上、使用自行購買的移動(dòng)設(shè)備等等。這種狀況對(duì)傳統(tǒng)管理方案提出了嚴(yán)峻挑戰(zhàn)過去的工具只允許企業(yè)管理屬于自己的系統(tǒng)和設(shè)備。我們的產(chǎn)品則能夠檢測到來自外部的、存在安全問題的接入設(shè)備。

    這套產(chǎn)品不會(huì)給企業(yè)管理者帶來硬件或存儲(chǔ)等方面的壓力。對(duì)管理范圍進(jìn)行擴(kuò)展其實(shí)非常簡單大家可以通過配置直接將日志記錄范圍從一個(gè)月提高到一年，整個(gè)調(diào)整過程一小時(shí)內(nèi)就能完成。

    DM:許多應(yīng)用程序及其它技術(shù)資產(chǎn)正向云環(huán)境轉(zhuǎn)移。越來越多的員工開始以遠(yuǎn)程及外部方式處理內(nèi)部事務(wù)。事實(shí)上繼續(xù)在網(wǎng)絡(luò)安全工作中苦苦掙扎已經(jīng)沒有任何好處針對(duì)有限的幾種設(shè)備進(jìn)行復(fù)雜精密的檢測，這實(shí)在有點(diǎn)吃力不討好。相比之下，云環(huán)境就要友善得多。由于設(shè)備都在服務(wù)供應(yīng)商那邊，大家完全不必費(fèi)心進(jìn)行管理及維護(hù)。

    大多數(shù)供應(yīng)商所提供的設(shè)備都能帶來良好的企業(yè)網(wǎng)絡(luò)覆蓋效果通過網(wǎng)關(guān)或者其它機(jī)制。CheckPoint、PaloAlto網(wǎng)絡(luò)公司等都是不錯(cuò)的選擇。但還沒有哪家供應(yīng)商能切實(shí)保護(hù)遠(yuǎn)程員工，目前大家只能指望這些員工自發(fā)安裝殺毒軟件并嚴(yán)格遵守安全政策。IT部門正在行動(dòng)，但他們?cè)诎踩�性方面還沒什么實(shí)質(zhì)性進(jìn)展。目前流行的管理體系相對(duì)過去而言實(shí)在太過松散。

    AR:企業(yè)管理者當(dāng)然明白自己在發(fā)展趨勢方面的局限性。我們正努力幫助他們勘破這個(gè)復(fù)雜多變的時(shí)代、了解組織之外的真實(shí)世界，并把握新型惡意軟件對(duì)現(xiàn)有安全機(jī)制的影響。大家可能已經(jīng)在保護(hù)方案上花掉了數(shù)百萬美元，但Seculert作為補(bǔ)充性服務(wù)絕對(duì)物有所值，它能有效彌補(bǔ)現(xiàn)有體系的不足之處。

    我：那么Seculert要如何證明自身價(jià)值、拓展市場份額?通過宣揚(yáng)對(duì)未知領(lǐng)域的恐懼感嗎?新興企業(yè)的立足根本在于處理尚未解決的問題，但如果企業(yè)自己根本沒意識(shí)到問題的存在，又該如何是好?

    AR:企業(yè)會(huì)定期進(jìn)行運(yùn)營狀況統(tǒng)計(jì)，因此我們相信管理者很清楚自己已經(jīng)遭受的侵襲，卻不了解侵襲的具體情況。他們大多表示“根據(jù)分析，企業(yè)已經(jīng)遭遇了安全問題，但我們還不清楚攻擊來自哪里、造成何種影響�！�

    DM:我們提供免費(fèi)試用產(chǎn)品。企業(yè)可以根據(jù)自身情況設(shè)定關(guān)鍵詞，而我們則將這些關(guān)鍵詞與自己的數(shù)據(jù)庫及收集到信息相關(guān)聯(lián)。如果發(fā)現(xiàn)了與關(guān)鍵詞相匹配的內(nèi)容，就意味著我們能夠成功找到企業(yè)現(xiàn)有技術(shù)資產(chǎn)中已經(jīng)發(fā)生問題、甚至成為僵尸網(wǎng)絡(luò)組成部分的對(duì)象。這也正是SeculertEcho產(chǎn)品的運(yùn)作機(jī)制。

    我們還允許企業(yè)客戶分析我們的內(nèi)部管理日志，這樣就能檢測出針對(duì)他們所開展的攻擊活動(dòng)。一旦某種安全漏洞被A所利用，相信很快也會(huì)被B、C等更多攻擊者所掌握。這就是SeculertSense產(chǎn)品的意義所在。

    我：也就是說隨著客戶群體不斷擴(kuò)大，Seculert產(chǎn)品的實(shí)際表現(xiàn)也會(huì)越來越好。

    DM:沒錯(cuò)，當(dāng)然。

    我：為什么要以獨(dú)立的形式推出服務(wù)產(chǎn)品，而不是將其整合到現(xiàn)有網(wǎng)絡(luò)安全公司的主流項(xiàng)目當(dāng)中呢?我的意思是說，既然二者之間是互補(bǔ)關(guān)系，那么合而為一不是更符合邏輯嗎?

    DM:我們的產(chǎn)品確實(shí)是以供應(yīng)商為中心，而不僅僅針對(duì)單一的企業(yè)客戶。

    我：您的意思是，把產(chǎn)品提供給多家安全服務(wù)供應(yīng)商，比把自己捆綁在一家特定供應(yīng)商要更科學(xué)、經(jīng)濟(jì)利益也更理想啰?

    DM:正是如此。