黑白之戰——他隻需成功一次 你卻需成功每一次

很少有群體能像“黑客”這樣，廣為人知又自帶神秘。網際網路技術飛速發展，給人們生活和工作帶來了日新月異的變化，但其背後隐晦複雜的網絡世界，可謂風雲詭谲。然而在利益的岔路口，另一個群體同樣擁有高超的技術，他們卻選擇利用自己的專業技術，維護着企業資訊安全，他們，就是企業中的安全管理人員。

與黑客相比，他們往往面臨着“不平等”的“待遇”：黑客隻需要成功一次，但安全管理人員卻需要成功每一次，不過幸好背後有一群安全廠商在“力挺”，使得安全管理人員可以借助多樣的安全裝置，在面對黑客時不再束手無策。在長時間的“黑白”對抗中，攻擊手段在不斷演進，企業安全架構也随之不斷調整，為每一次的成功立下汗馬功勞。

傳統安全“老三樣”力不從心

在最初的網絡安全架構中，防火牆作為第一道關口，負責控制内外網絡通路，ids對通過防火牆的資料進一步檢查，發現其中的攻擊行為則報警響應，若攻擊者逃避了ids的檢測，則直接由應急響應與災難恢複子產品處理。

從理論上講，這種防禦機制的邏輯是沒有問題的，通過風險評估與控制形成防禦，當防禦措施失效時，檢測機制将發現存在的攻擊行為，報警後由響應機制進行具體安全措施。這在資訊安全建設之初，起到了功不可沒的作用。

但随着攻擊門檻的降低，問題也接踵而來——使用者雖然安裝了防火牆，還是避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務的侵擾。與此同時，單個入侵檢測在提前預警方面也存在先天的不足，且精确定位和全局管理方面還有很大空間。

我們僅從2016年上半年安全事件的粗略統計中就不難發現問題的嚴重性：時代華納疑似被黑，30多萬客戶資料洩漏、凱悅連鎖酒店超過50%遭安全入侵、蘋果app store逾千應用存漏洞、超3200萬twitter賬戶密碼洩漏、myspace出現史上最大規模資料洩漏。可以說，傳統的依賴廠商分析樣本再給出規則或特征碼的方式逐漸過時。但是這組資料也可以看出，整個行業對安全的巨大需求，我們根據來自gartner的一組最新統計：2016年全球資訊安全産品和服務的開支将達到816億美元，相比2015年增長7.9%。

大資料技術打破資訊安全僵局

在漫長的對抗過程中，安全管理人員發現了日志的有效分析尤為重要，因為絕大多數的安全事件都可以回溯到安全日志。通過定期分析由整個網絡中的各種應用程式和裝置收集到的海量日志資料有助于找出和診斷故障，甚至還有可能發現正在進行中的攻擊。

siem/soc類産品開始登上舞台，其為來自企業群組織中所有it資源（包括網絡、系統和應用）産生的安全資訊（包括日志、告警等）進行統一的實時監控、曆史分析，進而提升企業群組織的安全營運、威脅管理和應急響應能力。

“防護性安全仍将呈現強勁增幅，因為很多安全從業人員還是偏好在預防措施方面多加采購，像安全資訊和事件管理（siem）以及安全web網關 （swg）這樣的解決方案都将發展到能夠支援檢測和響應方法。”gartner還預測：由于企業機構仍然專注于檢測和響應，swg市場到2020前都将保持 5%-10%的增幅。

但随着資料量的激升，建構在資料庫和架構基礎之上的siem，在處理大量事件、曆史記錄資料和關系資料擴充的能力方面開始存在固有的局限性，另外，傳統siem系統的分析能力也有所欠缺。許多企業不得不關閉重要但非主要的分析功能，然後再耗費數小時的等待才能生成一份報告，這讓企業很難接受。

就在企業資訊安全再度陷入僵局的時候，大資料技術開始蹿紅，使得分析蘊藏攻擊痕迹的海量安全日志成為可能。以此為依托，國内外均開展了大量的大資料安全領域研究，并且出現相對成熟的解決方案，如hansight的大資料分析平台，對企業内部所有機器産生的資料進行采集、存儲、搜尋、關聯、分析、可視化展現、告警和産生報告。

建立全新的安全防禦機制

在這種模式的引導下，資訊安全技術架構與戰略迎來了新的轉型期，人們開始設想将所有的安全機制融合，形成層次漸進的全新安全防禦機制，gartner指出：要“為企業安全智能的興起做好準備”。

在這份報告中，gartner提出了安全智能的概念，強調必須将過去分散的安全資訊進行內建與關聯，獨立的分析方法和工具進行整合形成互動，進而實作智能化的安全分析與決策。而資訊的內建、技術的整合必然導緻安全要素資訊的迅猛增長，智能的分析必然要求将機器學習、資料挖據等技術應用于安全分析，并且要更快更好地的進行安全決策。

hansight深谙此道，其下一代大資料安全分析平台通過對大量的曆史日志資訊進行機器學習與算法分析，偵測出異常行為模式和隐藏的威脅。并且通過過濾和分析大而複雜的資料集，可以洞徹最新的安全威脅的變化。同時，系統建立出多層次的儀表盤和報告，使決策層、管理層和一線運維人員從不同的視角來監控最新的安全态勢并不斷從中學習和改進。另外，hansight還徹底解決了讓人頭疼的資料管理問題。通過為基于時間戳的非結構化資料特别設計的列式資料庫，能夠為分析子產品提供實時或者長期的關聯分析能力。

基于此，企業最終實作了從單一事件響應向整體安全态勢轉變；從依賴廠商告警向主動智能分析轉變；從以工具為中心向以人和協作為中心轉變；從人工值守向7*24自動安全響應轉變；從單一事件分析向模式和趨勢分析轉變，并為上司層進行安全戰略決策提供依據。總之歸為一句就是：變被動防禦為主動防禦。

當然我們并不能是以而放松警惕，安全領域沒有絕對安全的解決方案，管理上的短視也是目前it資訊安全較為嚴重的隐憂，提高it部門對資訊安全的認識也是企業it資訊安全最不應該忽視的地方。企業it部門不但自己要提高安全意識，還要不斷推進企業全體成員的it資訊安全意識建設。

原文釋出時間為：2016年8月26日

本文來自雲栖社群合作夥伴至頂網，了解相關資訊可以關注至頂網。