專家解析：大數據+情景化下的網絡安全治理之道

　　大數據時代的來臨，企業不僅要學習如何挖掘數據價值，還要竭盡所能的進行安全整合，以免遭到更強有力的攻擊，降低風險。近日，在參加“OWASP2015中國應用安全論壇——業務安全之大數據分析”會議上，WebRAY創始人權小文先生表示：“任何事物都有存在的兩面性，大數據也是如此，雖然黑客盯準了它，但大數據一樣可以用來反擊。基于大數據分析的內網異常檢測技術，已經為有效發現和阻斷內網攻擊的做好了準備。”

　　APT防范思路“掉頭”內網

　　企業內網承載大量的核心資產和機密數據，雖然用戶采用了層層疊加的網絡安全防護產品，SOC、監控中心、網管系統、流量分析系統等處處把關，但出現在內網的攻擊和泄露事件并未減少。究其緣由，這與內網安全數年來不能改變的傳統防護技術有關，更與內網入侵事件所處的場景化有關。

　　那么，何為“傳統”、何為“情景”呢?權小文做出了如下解答：

　　他指出，“內網防護現狀是離散的、非體系化的防護方法，而大量的安全事件或者是內部員工的惡意、無意造成，或者是長期的潛伏或離職意向前的突發行為。因此，要想在內網發現不法人員盜取數據的‘行走軌跡’，就要借助防御APT攻擊的思路，針對內網定制化的情景，通過獲取樣本，建立正常行為模型，然后分析內部網絡流量或終端服務器上的行為，做到情景感知，這將是有別于傳統防御方案的新起點、后續監測和分析的觸發點。”

　　據了解，APT攻擊防范的難點在于，黑客采用了高度定制的代碼，有時很可能只適用“一次”，隨之潛伏下來，由于沒有已知的特征，所以這些攻擊很難被傳統對檢測手段發現。而靜態檢測無法檢測到深度攻擊行為，但動態檢測由于存在大量的環境組合，無法窮舉，所以不應該使用任何一種單獨的方法對目標進行檢測，這就需要把所有信息關聯起來分析。而針對內網環境，WebRAY所倡導的方法，是把有效對付APT攻擊的成功經驗、關聯分析等技術部署在企業內網情景中，而這必然離不開大數據技術作為“支點”。

　　大數據帶來“情景”分析新機遇

　　內網安全的重要性不言而喻，那么，用戶部署安全攻擊防護產品、終端病毒的防范、對服務器加固、網絡隔離、部署身份認證和安全審計系統，這系列動作的目的又是什么呢?不外乎形成一個有效的流程：預警→監控→溯源→安全事件責任認定。但是，現實與夢想總有差距。

　　權小文表示，大數據技術應用帶來了內網檢測預警新形態和新機遇。他說，“由于傳統的、基于SOL存儲的安全信息無法整合分析，只能對可以定義的數據進行存儲，對于不能定義的數據丟棄，在數據的完整性層面勢單力薄。而大數據系統采用NoSQL的非結構化存儲，這種技術突破了之前SOC等系統采用的SQL存儲的模式，可以保存所有數據，保證了數據的完整性。”

　　作為大數據分析平臺，采集與存儲階段都要盡可能保證數據完整性，而WebRAY方案從路由器旁路采集數據流量、服務器狀態、安全設備的日志和相關信息，同時采用漏洞掃描器，主動去掃描檢測數據，構建大數據分析的因子，提高了判別的準確性。另外，大數據分析也讓WebRAY在業內提出了先進的5W1H分析方法，并以此為主線，滿足了用戶內網安全流程的建設目標，實現了內控管理的情景感知。

　　5W1H分析系統中的情景感知因素有Who、When、Where、What、Why、How，通過這些因素可有構建出“主體”到“客體”的訪問行為情景。主體是人或應用，客體是應用或數據。而情境分析首先關注審計客體和審計動作，即以What和How為主要關聯對象，發現任何一個存在的異常現象。這些常見的異常情景包括：登錄異常行為（異常時間、異常IP、多IP登錄、頻繁登錄失敗等）、業務違規行為（惡意業務訂購、業務只查詢不辦理、高頻業務訪問、業務繞行等）、共享賬號（一個賬號短時間換IP，一個IP登了多個賬號等）。另外，5W1H分析方法在網絡事件中的應用，還可以解決證據的準確性、完整性等問題就，并且通過合并、改變、簡化、取消等操作解決證據存儲瓶頸。

　　內網安全“五步曲”

　　為了應對“新常態”下的安全風險，有效保障業務安全，OWASP2015中國應用安全論壇重點圍繞“如何利用大數據分析來保障業務安全”進行多角度深層次的討論。而WebRAY所倡導的“大數據+情景化”的內控安全方法更是得到了參會嘉賓的高度認可，與此同時，權小文還建議企業在內控安全管理中，可以采用以下5個具體步驟進行實踐，從而實現大數據分析的內網異常檢測：

　　第1階段中的主動采集、掃描、探測網絡威脅，以及監控、識別獲取證據等，對應著登錄異常行為;第2階段中的數據關聯、分析、歸一化，對應源IP偽造、DDoS攻擊識別等流量異常行為;第3階段中的深度分析，用于形成完整的回溯流程、確定單獨事件的5W1H元素，形成混合模式的5W1H鏈條、以及針對Who鏈條的信譽體系庫;第4階段的計算與專家庫介入是在前面3個階段后開始，此時已經能夠重現完整事件過程，而專家的介入，是為了校對事件追溯過程，通過內置的事件分析模版，進行責任匹配等;第5階段是定責，這包括了初步認定結果、展示相關問題及其證據鏈、更新WHO信譽庫。

　　后，權小文表示：“用戶需要重點注意的是在第2階段，需要事先定義好安全情景，其完整的功能包括數據關聯分析、歸并、形成Key-Value形態的范式，NOSQL存儲，便于檢索等，其目的在于解決重復登錄系統、異地登陸、繞行登錄等異常信息。而這個階段也是發揮‘大數據+情景化’的關鍵所在，是大數據內網安全達到情景化、可視化、感知化，責任化的優勢所在。”