讓大數據成為我們捕捉網絡安全威脅的眼睛

    最近幾個月大數據的激增人氣再次顯露出來。對于我們這幫搞技術的人士而言，數據始終是貫穿生活始終的核心價值所在。但在過去數年中，它的價值則變得更加透明。無論是智能手機、基礎設施所在地的電網體系還是硅谷新興企業(yè)的運作模式，都開始圍繞“數據”這一概念大做文章。人民群眾紛紛表示，數據代表著新一輪潛在的企業(yè)盈利能力。

    (當然，電力仍然是一切的保障。試想我們坐在沒電的辦公室里，盯著手機上即將歸零的電池剩余，數據什么的自然只能是浮云。但這好像跟今天的話題沒啥關系。)

    幾十年來，數據已經成為企業(yè)運營的潤滑劑與推動力。如今，“大數據”這一涉及龐大復雜數據合集計算、整理與分析的模糊概念則帶來新的價值增長點，并承諾為企業(yè)加速信息向財富的轉化過程。

    原因在于：隨著數據量的爆炸式增長，對其加以利用的可能性也將相應提高。數據自身與生俱來的關聯特性既成為前所未有的發(fā)展機遇，也帶來了諸多極為罕見的技術阻礙。

    只要略加分析大家就會發(fā)現，發(fā)掘數據潛能的最大挑戰(zhàn)在于選擇理想的大數據解決方案。換言之，我們需要利用大數據來實現大數據保護工作。這跟電影《盜夢空間》的劇情設定如出一轍利用夢境來改變夢境。

    Seculert公司是一家以色列新興安全企業(yè)，其主要發(fā)展方向是利用大數據分析技術捕捉企業(yè)中的網絡威脅。今年十月下旬，他們推出了一款名為“SeculertSense”的專有引擎，嘗試利用AmazonElastic MapReduce從活動僵尸網絡、惡意軟件及日志文件等由客戶上傳到云端的信息中收集數以TB的數據并加以分析。而分析結果將被傳輸到一款基于Web的安全專用控制面板當中。

    研發(fā)初衷：加快威脅檢測速度、提高防御體系靈活性，使現有安全措施更好地適應不斷變化的網絡威脅并解決日益壯大的外部網絡企業(yè)活動所帶來的安全難題。

    為了了解更多信息，我對該公司創(chuàng)始人AvivRaff(簡稱AR)與DudiMatot(簡稱DM)進行了一次專訪。

    我:Seculert公司是如何建立起來的?

    DM:這家公司于2010年誕生，但我們在那之前就已經開始關注這塊市場了。

    如果把目光投向2000年之初，也就是03到04年之間，那時候惡意軟件所針對的還主要是金融類消費者。而2006年左右依托僵尸網絡實現的信息掃描與拒絕服務活動則成為主流。到了09、10年，攻擊者的目標又開始針對企業(yè)環(huán)境。當時谷歌公司是第一家明確表示自己受到攻擊的企業(yè)，據說當時的攻擊活動來自中國。其后反應遭遇侵襲的公司逐漸增加，最終達到70多家，大部分安全服務供應商都被牽涉其中。

    多數傳統(tǒng)安全供應商只向客戶提供管理政策或者基于簽名的解決方案。他們研發(fā)相關工具，而客戶則負責配置工作。其它的就不用指望了，方案已經成形，大家只能祈禱這些產品真有拒敵于千里之外的本事。

    現在黑客們在入侵企業(yè)并獲取專有信息方面的技術水平已經越來越高，因此我們一直在努力收集資料，以揪出那些無法被現有系統(tǒng)所發(fā)現的惡意活動。

    目前大多數遭遇侵襲的企業(yè)尚處于懵懂之中，他們沒有意識到自己的安全體系已經被攻破。就像一群目光短淺的小羊羔，他們躺在舊技術與舊概念打造的殘舍破窯中，還以為自己非常安全。

    說到這里，我要感謝以大數據為代表的云計算及其它現代技術。在它們的幫助下，我們才有能力獲取以TB計算的海量數據、以分布式方式通過精心開發(fā)的代碼對其進行處理與關聯，并最終拿出復雜而準確的分析結論。

    我：您的公司非常重視企業(yè)網絡之外的安全保護工作。我想自帶設備趨勢正是成就這一設想的重要因素。

    AR:現在企業(yè)員工會以遠程方式接入內部網絡從家中、在旅途上、使用自行購買的移動設備等等。這種狀況對傳統(tǒng)管理方案提出了嚴峻挑戰(zhàn)過去的工具只允許企業(yè)管理屬于自己的系統(tǒng)和設備。我們的產品則能夠檢測到來自外部的、存在安全問題的接入設備。

    這套產品不會給企業(yè)管理者帶來硬件或存儲等方面的壓力。對管理范圍進行擴展其實非常簡單大家可以通過配置直接將日志記錄范圍從一個月提高到一年，整個調整過程一小時內就能完成。

    DM:許多應用程序及其它技術資產正向云環(huán)境轉移。越來越多的員工開始以遠程及外部方式處理內部事務。事實上繼續(xù)在網絡安全工作中苦苦掙扎已經沒有任何好處針對有限的幾種設備進行復雜精密的檢測，這實在有點吃力不討好。相比之下，云環(huán)境就要友善得多。由于設備都在服務供應商那邊，大家完全不必費心進行管理及維護。

    大多數供應商所提供的設備都能帶來良好的企業(yè)網絡覆蓋效果通過網關或者其它機制。CheckPoint、PaloAlto網絡公司等都是不錯的選擇。但還沒有哪家供應商能切實保護遠程員工，目前大家只能指望這些員工自發(fā)安裝殺毒軟件并嚴格遵守安全政策。IT部門正在行動，但他們在安全性方面還沒什么實質性進展。目前流行的管理體系相對過去而言實在太過松散。

    AR:企業(yè)管理者當然明白自己在發(fā)展趨勢方面的局限性。我們正努力幫助他們勘破這個復雜多變的時代、了解組織之外的真實世界，并把握新型惡意軟件對現有安全機制的影響。大家可能已經在保護方案上花掉了數百萬美元，但Seculert作為補充性服務絕對物有所值，它能有效彌補現有體系的不足之處。

    我：那么Seculert要如何證明自身價值、拓展市場份額?通過宣揚對未知領域的恐懼感嗎?新興企業(yè)的立足根本在于處理尚未解決的問題，但如果企業(yè)自己根本沒意識到問題的存在，又該如何是好?

    AR:企業(yè)會定期進行運營狀況統(tǒng)計，因此我們相信管理者很清楚自己已經遭受的侵襲，卻不了解侵襲的具體情況。他們大多表示“根據分析，企業(yè)已經遭遇了安全問題，但我們還不清楚攻擊來自哪里、造成何種影響�！�

    DM:我們提供免費試用產品。企業(yè)可以根據自身情況設定關鍵詞，而我們則將這些關鍵詞與自己的數據庫及收集到信息相關聯。如果發(fā)現了與關鍵詞相匹配的內容，就意味著我們能夠成功找到企業(yè)現有技術資產中已經發(fā)生問題、甚至成為僵尸網絡組成部分的對象。這也正是SeculertEcho產品的運作機制。

    我們還允許企業(yè)客戶分析我們的內部管理日志，這樣就能檢測出針對他們所開展的攻擊活動。一旦某種安全漏洞被A所利用，相信很快也會被B、C等更多攻擊者所掌握。這就是SeculertSense產品的意義所在。

    我：也就是說隨著客戶群體不斷擴大，Seculert產品的實際表現也會越來越好。

    DM:沒錯，當然。

    我：為什么要以獨立的形式推出服務產品，而不是將其整合到現有網絡安全公司的主流項目當中呢?我的意思是說，既然二者之間是互補關系，那么合而為一不是更符合邏輯嗎?

    DM:我們的產品確實是以供應商為中心，而不僅僅針對單一的企業(yè)客戶。

    我：您的意思是，把產品提供給多家安全服務供應商，比把自己捆綁在一家特定供應商要更科學、經濟利益也更理想啰?

    DM:正是如此。