【新東網(wǎng)大數據】構建基于大數據與威脅情報的企業(yè)安全保障體系

發(fā)布時(shí)間： 2017-03-15 11:37:52  

分享到：

文/邵元明 信息安全部

隨著(zhù)互聯(lián)網(wǎng)安全形勢越來(lái)越嚴峻，企業(yè)面臨的安全風(fēng)險也越來(lái)越高，傳統的安全技術(shù)手段在面對復雜多變的安全攻擊時(shí)逐漸乏力，企業(yè)紛紛找尋新的出路，大數據技術(shù)的成熟與威脅情報概念的發(fā)展為新一代企業(yè)安全保障體系開(kāi)啟了新的大門(mén)，數據驅動(dòng)安全成為了行業(yè)流行的課題。

新東網(wǎng)科技作為互聯(lián)網(wǎng)與物聯(lián)網(wǎng)的運營(yíng)商，運營(yíng)維護著(zhù)全國十余個(gè)省級運營(yíng)商的電子渠道相關(guān)系統、多個(gè)智慧城市平臺并擁有著(zhù)自己的互聯(lián)網(wǎng)金融應用，對于攻擊者而言是非常有價(jià)值的攻擊目標，每天都面臨著(zhù)來(lái)自互聯(lián)網(wǎng)的大量攻擊?；诙嗄昱c網(wǎng)絡(luò )攻擊做斗爭的經(jīng)驗及新東網(wǎng)自身在大數據技術(shù)上的積累，新東網(wǎng)也摸索出了一套基于大數據與威脅情報的企業(yè)安全保障體系。

大數據的概念相信大家已經(jīng)耳熟能詳，那么什么是威脅情報，威脅情報與大數據在保障企業(yè)安全上又有怎樣的關(guān)系呢？

威脅情報作為一個(gè)正在發(fā)展的概念，目前尚未有統一的定義，但是在一些關(guān)鍵點(diǎn)上已經(jīng)有了廣泛的共識，SANS 研究院對威脅情報的定義是：針對安全威脅、威脅者、利用、惡意軟件、漏洞和危害指標、所收集的用于評估的應用的數據集，舉一個(gè)最簡(jiǎn)單的例子，我們通常關(guān)注的安全漏洞信息就是非常典型的威脅情報。過(guò)去我們往往將關(guān)注集中在漏洞信息上，但威脅情報的內容遠不止于此，新的攻擊手段、互聯(lián)網(wǎng)上發(fā)生的安全事件、甚至于惡意攻擊者本身的信息。比如某個(gè)黑客團體即將對企業(yè)展開(kāi)攻擊，目的是盜取信息還是破壞系統，動(dòng)機是非法獲利還是報復泄憤，常用的攻擊手法是什么，對企業(yè)而言都是需要關(guān)注的情報。

了解了威脅情報的基本概念，我們再來(lái)看安全大數據與威脅情報的關(guān)系。安全大數據通常包括企業(yè)的IT資產(chǎn)信息、系統運行狀態(tài)信息、系統及設備日志、應用日志等，這些數據復雜而龐大，如果缺乏有效的分析思路和方法則難以產(chǎn)生對企業(yè)安全保障提供有效幫助的信息，而威脅情報概念的發(fā)展為解決這個(gè)問(wèn)題提供了方向：一方面我們可以從安全大數據中提取威脅情報，進(jìn)而采取針對性的應對措施來(lái)提升企業(yè)的安全性。另一方面當我們獲取了威脅情報后，也需要有強大的安全大數據平臺來(lái)支撐，才能有效地應對。

下面，我們來(lái)看一下具體的應用場(chǎng)景：

日志大數據與安全保障：新東網(wǎng)構建了日志大數據平臺，將各業(yè)務(wù)系統相關(guān)的操作系統、數據庫、WEB應用、網(wǎng)絡(luò )設備、安全設備等日志進(jìn)行統一收集，并基于威脅情報進(jìn)行分析，根據結果進(jìn)行事件響應和策略?xún)?yōu)化。例如，我們將SQL注入攻擊的攻擊特征作為基礎威脅情報輸入大數據平臺，對日志進(jìn)行分析檢索，獲得近期對應用發(fā)起SQL注入攻擊的語(yǔ)句類(lèi)型（從大數據平臺提取出威脅情報），并根據獲得的特征優(yōu)化我們應用的過(guò)濾規則。又如，我們將暴力破解攻擊的行為特征（大量登錄失敗后突然登錄成功）作為威脅情報輸入大數據平臺，當平臺發(fā)現日志中存在連續大量登錄失敗日志后突然有一條登錄成功日志，則認為攻擊者可能成功實(shí)施了暴力破解攻擊，我們應該立即響應（傳統的系統日志只能知道攻擊者在進(jìn)行攻擊，并不能判斷攻擊是否成功，在海量數據的情況下無(wú)法作為啟動(dòng)響應的決策依據）。

資產(chǎn)大數據與安全保障：新東網(wǎng)構建了資產(chǎn)大數據平臺，對公司所有IT資產(chǎn)的指紋進(jìn)行詳細的記錄，包括操作系統類(lèi)型及版本、數據庫類(lèi)型版本、中間件類(lèi)型類(lèi)型版本、域名、IP地址、端口號、業(yè)務(wù)類(lèi)型、應用程序版本、編程語(yǔ)言、框架等信息（我們稱(chēng)之為資產(chǎn)的指紋信息），這些信息通過(guò)大數據平臺維護并自動(dòng)化的收集和更新，每當獲取新的漏洞信息時(shí)我們可以通過(guò)大數據平臺快速檢索可能受到影響的資產(chǎn)，快速啟動(dòng)漏洞修復工作并追蹤修復結果，最大程度降低安全漏洞爆發(fā)帶來(lái)的業(yè)務(wù)風(fēng)險。這套系統在我們應對JAVA反序列化漏洞、struts2、ImageTragick、Dirty Cow等近兩年爆發(fā)的重大安全漏洞的過(guò)程中起到了重要的作用。

業(yè)務(wù)大數據與安全保障：對于互聯(lián)網(wǎng)企業(yè)和應用而言，業(yè)務(wù)層面的攻擊是當前面臨的重要問(wèn)題，例如智慧福州APP在上線(xiàn)和多次活動(dòng)期間都遭到了大量惡意攻擊者通過(guò)惡意注冊賬號進(jìn)行刷單等方式進(jìn)行攻擊，對此新東網(wǎng)迅速建立了業(yè)務(wù)安全大數據系統，建立賬號信譽(yù)機制，對于有惡意行為的賬號進(jìn)行信譽(yù)懲罰和嚴格的風(fēng)險策略，達到一定分數后加入黑名單，同時(shí)也積極與大型的安全企業(yè)和互聯(lián)網(wǎng)企業(yè)對接互換威脅情報（如惡意賬號黑名單），較好的遏制了“羊毛黨”惡意刷單等業(yè)務(wù)攻擊行為。此外，新東網(wǎng)還將改技術(shù)進(jìn)行拓展并應用于防詐騙領(lǐng)域，目前與福州電信等運營(yíng)商客戶(hù)共同研究詐騙電話(huà)攔截的解決方案。

基于這些大數據與威脅情報的技術(shù)與應用，新東網(wǎng)構建了良好的企業(yè)安全保障體系，在很好地保障企業(yè)自身安全的同時(shí)也為客戶(hù)提供了技術(shù)支撐。不僅如此，為了更好的獲取威脅情報和保障企業(yè)安全，新東網(wǎng)還建立了信息安全技術(shù)社區漏斗社區，聚集了業(yè)內大量安全企業(yè)、互聯(lián)網(wǎng)企業(yè)、政企單位一線(xiàn)的安全技術(shù)人員，并通過(guò)論壇、社交軟件、定期組織安全沙龍等方式促進(jìn)大家溝通交流，方便大家互換威脅情報、交流安全技術(shù)，互相協(xié)同為創(chuàng )造更加安全的互聯(lián)網(wǎng)環(huán)境盡一份力量。