【新(xīn)東網大數據】構建基于大數據與威脅情報的企業安(ān)全保障體(tǐ)系

發布時間： 2017-03-15 11:37:52  

分(fēn)享到：

文(wén)/邵元明 信息安(ān)全部

随着互聯網安(ān)全形勢越來越嚴峻，企業面臨的安(ān)全風險也越來越高，傳統的安(ān)全技(jì )術手段在面對複雜多(duō)變的安(ān)全攻擊時逐漸乏力，企業紛紛找尋新(xīn)的出路，大數據技(jì )術的成熟與威脅情報概念的發展為(wèi)新(xīn)一代企業安(ān)全保障體(tǐ)系開啓了新(xīn)的大門，數據驅動安(ān)全成為(wèi)了行業流行的課題。

新(xīn)東網科(kē)技(jì )作(zuò)為(wèi)互聯網與物(wù)聯網的運營商(shāng)，運營維護着全國(guó)十餘個省級運營商(shāng)的電(diàn)子渠道相關系統、多(duō)個智慧城市平台并擁有(yǒu)着自己的互聯網金融應用(yòng)，對于攻擊者而言是非常有(yǒu)價值的攻擊目标，每天都面臨着來自互聯網的大量攻擊。基于多(duō)年與網絡攻擊做鬥争的經驗及新(xīn)東網自身在大數據技(jì )術上的積累，新(xīn)東網也摸索出了一套基于大數據與威脅情報的企業安(ān)全保障體(tǐ)系。

大數據的概念相信大家已經耳熟能(néng)詳，那麽什麽是威脅情報，威脅情報與大數據在保障企業安(ān)全上又(yòu)有(yǒu)怎樣的關系呢(ne)？

威脅情報作(zuò)為(wèi)一個正在發展的概念，目前尚未有(yǒu)統一的定義，但是在一些關鍵點上已經有(yǒu)了廣泛的共識，SANS 研究院對威脅情報的定義是：針對安(ān)全威脅、威脅者、利用(yòng)、惡意軟件、漏洞和危害指标、所收集的用(yòng)于評估的應用(yòng)的數據集，舉一個最簡單的例子，我們通常關注的安(ān)全漏洞信息就是非常典型的威脅情報。過去我們往往将關注集中(zhōng)在漏洞信息上，但威脅情報的内容遠(yuǎn)不止于此，新(xīn)的攻擊手段、互聯網上發生的安(ān)全事件、甚至于惡意攻擊者本身的信息。比如某個黑客團體(tǐ)即将對企業展開攻擊，目的是盜取信息還是破壞系統，動機是非法獲利還是報複洩憤，常用(yòng)的攻擊手法是什麽，對企業而言都是需要關注的情報。

了解了威脅情報的基本概念，我們再來看安(ān)全大數據與威脅情報的關系。安(ān)全大數據通常包括企業的IT資産(chǎn)信息、系統運行狀态信息、系統及設備日志(zhì)、應用(yòng)日志(zhì)等，這些數據複雜而龐大，如果缺乏有(yǒu)效的分(fēn)析思路和方法則難以産(chǎn)生對企業安(ān)全保障提供有(yǒu)效幫助的信息，而威脅情報概念的發展為(wèi)解決這個問題提供了方向：一方面我們可(kě)以從安(ān)全大數據中(zhōng)提取威脅情報，進而采取針對性的應對措施來提升企業的安(ān)全性。另一方面當我們獲取了威脅情報後，也需要有(yǒu)強大的安(ān)全大數據平台來支撐，才能(néng)有(yǒu)效地應對。

下面，我們來看一下具(jù)體(tǐ)的應用(yòng)場景：

日志(zhì)大數據與安(ān)全保障：新(xīn)東網構建了日志(zhì)大數據平台，将各業務(wù)系統相關的操作(zuò)系統、數據庫、WEB應用(yòng)、網絡設備、安(ān)全設備等日志(zhì)進行統一收集，并基于威脅情報進行分(fēn)析，根據結果進行事件響應和策略優化。例如，我們将SQL注入攻擊的攻擊特征作(zuò)為(wèi)基礎威脅情報輸入大數據平台，對日志(zhì)進行分(fēn)析檢索，獲得近期對應用(yòng)發起SQL注入攻擊的語句類型（從大數據平台提取出威脅情報），并根據獲得的特征優化我們應用(yòng)的過濾規則。又(yòu)如，我們将暴力破解攻擊的行為(wèi)特征（大量登錄失敗後突然登錄成功）作(zuò)為(wèi)威脅情報輸入大數據平台，當平台發現日志(zhì)中(zhōng)存在連續大量登錄失敗日志(zhì)後突然有(yǒu)一條登錄成功日志(zhì)，則認為(wèi)攻擊者可(kě)能(néng)成功實施了暴力破解攻擊，我們應該立即響應（傳統的系統日志(zhì)隻能(néng)知道攻擊者在進行攻擊，并不能(néng)判斷攻擊是否成功，在海量數據的情況下無法作(zuò)為(wèi)啓動響應的決策依據）。

資産(chǎn)大數據與安(ān)全保障：新(xīn)東網構建了資産(chǎn)大數據平台，對公(gōng)司所有(yǒu)IT資産(chǎn)的指紋進行詳細的記錄，包括操作(zuò)系統類型及版本、數據庫類型版本、中(zhōng)間件類型類型版本、域名(míng)、IP地址、端口号、業務(wù)類型、應用(yòng)程序版本、編程語言、框架等信息（我們稱之為(wèi)資産(chǎn)的指紋信息），這些信息通過大數據平台維護并自動化的收集和更新(xīn)，每當獲取新(xīn)的漏洞信息時我們可(kě)以通過大數據平台快速檢索可(kě)能(néng)受到影響的資産(chǎn)，快速啓動漏洞修複工(gōng)作(zuò)并追蹤修複結果，最大程度降低安(ān)全漏洞爆發帶來的業務(wù)風險。這套系統在我們應對JAVA反序列化漏洞、struts2、ImageTragick、Dirty Cow等近兩年爆發的重大安(ān)全漏洞的過程中(zhōng)起到了重要的作(zuò)用(yòng)。

業務(wù)大數據與安(ān)全保障：對于互聯網企業和應用(yòng)而言，業務(wù)層面的攻擊是當前面臨的重要問題，例如智慧福州APP在上線(xiàn)和多(duō)次活動期間都遭到了大量惡意攻擊者通過惡意注冊賬号進行刷單等方式進行攻擊，對此新(xīn)東網迅速建立了業務(wù)安(ān)全大數據系統，建立賬号信譽機制，對于有(yǒu)惡意行為(wèi)的賬号進行信譽懲罰和嚴格的風險策略，達到一定分(fēn)數後加入黑名(míng)單，同時也積極與大型的安(ān)全企業和互聯網企業對接互換威脅情報（如惡意賬号黑名(míng)單），較好的遏制了“羊毛黨”惡意刷單等業務(wù)攻擊行為(wèi)。此外，新(xīn)東網還将改技(jì )術進行拓展并應用(yòng)于防詐騙領域，目前與福州電(diàn)信等運營商(shāng)客戶共同研究詐騙電(diàn)話攔截的解決方案。

基于這些大數據與威脅情報的技(jì )術與應用(yòng)，新(xīn)東網構建了良好的企業安(ān)全保障體(tǐ)系，在很(hěn)好地保障企業自身安(ān)全的同時也為(wèi)客戶提供了技(jì )術支撐。不僅如此，為(wèi)了更好的獲取威脅情報和保障企業安(ān)全，新(xīn)東網還建立了信息安(ān)全技(jì )術社區(qū)漏鬥社區(qū)，聚集了業内大量安(ān)全企業、互聯網企業、政企單位一線(xiàn)的安(ān)全技(jì )術人員，并通過論壇、社交軟件、定期組織安(ān)全沙龍等方式促進大家溝通交流，方便大家互換威脅情報、交流安(ān)全技(jì )術，互相協同為(wèi)創造更加安(ān)全的互聯網環境盡一份力量。