合并自動(dòng)化和分析如何提高IT安全性

2013年11月，早些時(shí)候侵入目標(biāo)零售連鎖店服務(wù)器的黑客上傳了惡意軟件，允許他們想竊取的信用卡數(shù)據(jù)被轉(zhuǎn)發(fā)到公司外部。

據(jù)彭博新聞社報(bào)道，塔吉特的新火眼檢測(cè)軟件發(fā)現(xiàn)了惡意軟件，并向安全團(tuán)隊(duì)發(fā)送了警報(bào)。

這本該是分析學(xué)的一次勝利，但卻被忽視了。與此同時(shí)，數(shù)千萬(wàn)的姓名、地址、電話號(hào)碼和支付卡數(shù)據(jù)從這家零售商流出。

一段時(shí)間以來(lái)，CISOs已經(jīng)知道他們需要技術(shù)來(lái)幫助他們對(duì)抗那些有時(shí)間和金錢支持的攻擊者。然而，盡管近年來(lái)該行業(yè)做出了巨大努力，但進(jìn)展一直緩慢——有時(shí)，就像塔吉特一樣，受到人們的阻礙。

正如一名前聯(lián)邦調(diào)查局(FBI)特工上月在多倫多的一次會(huì)議上所說(shuō)，這是許多大型數(shù)據(jù)泄露事件中反復(fù)出現(xiàn)的一個(gè)主題:警告是存在的，但不知怎的，它們沒(méi)有被看到，也沒(méi)有被執(zhí)行。

Forrester Research的企業(yè)安全分析師約翰?金德瓦格(John Kindervag)表示:“盡管分析是未來(lái)的趨勢(shì)，但我們距離真正有能力對(duì)安全進(jìn)行有用的分析，還有很長(zhǎng)的路要走。”

其他人則更有希望。在最近的一次采訪中，預(yù)測(cè)分析公司FICO (Fair Isaac Corporation)新任首席分析官斯科特·佐爾迪(Scott Zoldi)談到了該公司如何將其欺詐檢測(cè)技術(shù)應(yīng)用到即將推出的網(wǎng)絡(luò)安全解決方案中，以幫助改善保護(hù)。

他表示:“網(wǎng)絡(luò)的挑戰(zhàn)之一是，數(shù)據(jù)在不斷變化，攻擊在不斷變化，有必要對(duì)數(shù)據(jù)進(jìn)行動(dòng)態(tài)分析。”“我們通常稱其為流分析——這實(shí)際上意味著你不會(huì)根據(jù)去年的威脅數(shù)據(jù)建立一個(gè)模型，因?yàn)槟阒拦裟Ｊ秸诟淖儭！?/p>

的流數(shù)據(jù)(包括Netflow信息、DNS信息DHCP變化,ICMP記錄等)建立所謂的事務(wù)行為概要描述典型的使用設(shè)備或交通設(shè)備,如《紐約時(shí)報(bào)》的一天活動(dòng),網(wǎng)站是什么,在什么。從這一點(diǎn)上，軟件可以看出模式中的偏差。

分析人員建立了一個(gè)模型來(lái)生成一個(gè)分?jǐn)?shù)，infosec專業(yè)人員可以使用這個(gè)分?jǐn)?shù)來(lái)做決策——其中一些可以被自動(dòng)化。

FICO即將推出的網(wǎng)絡(luò)安全解決方案將增加來(lái)自其他供應(yīng)商解決方案的深度數(shù)據(jù)包檢查，以創(chuàng)建分?jǐn)?shù)。

“移動(dòng)在工業(yè)和FICO和讓這些這些分析更容易一個(gè)業(yè)務(wù)或技術(shù)所有者可能沒(méi)有一組數(shù)據(jù)科學(xué)家,“Zolti添加——例如FICO的決定有一個(gè)自動(dòng)化modeler管理套件,讓用戶點(diǎn)數(shù)據(jù)和標(biāo)簽在事務(wù)時(shí),按下按鈕,它會(huì)生成一個(gè)模型。

從理論上講，安全信息和事件管理(SIEM)套件，作為大量日志、流和包數(shù)據(jù)注入的管道，以及入侵檢測(cè)解決方案，應(yīng)該是分析和自動(dòng)化的重要來(lái)源。相反，它們有時(shí)會(huì)產(chǎn)生誤報(bào)，讓IT安全團(tuán)隊(duì)陷入昏睡狀態(tài)。

舉個(gè)例子:目標(biāo)。

Forrester的Kindervag認(rèn)為，解決方案是一個(gè)更自動(dòng)化的威脅響應(yīng)過(guò)程，其基礎(chǔ)是開(kāi)發(fā)一套網(wǎng)絡(luò)“交戰(zhàn)規(guī)則”，這將使安全和風(fēng)險(xiǎn)管理專業(yè)團(tuán)隊(duì)能夠更快地采取行動(dòng)，阻止數(shù)據(jù)泄露。

一年前，他與人合著了一份報(bào)告，該報(bào)告表明分析和自動(dòng)化可以攜手合作。

首先，組織必須創(chuàng)建安全需求的策略聲明。安全團(tuán)隊(duì)將其轉(zhuǎn)換為一組規(guī)則或配置，供分析引擎處理設(shè)備和網(wǎng)絡(luò)數(shù)據(jù)使用。引擎(或者，更準(zhǔn)確地說(shuō)，軟件工具)生成安全團(tuán)隊(duì)用于自動(dòng)響應(yīng)的風(fēng)險(xiǎn)評(píng)分。

例如，如果得分上的置信水平很高，潛在影響水平也很高，則聲明的安全策略應(yīng)該規(guī)定安全控制停止或自動(dòng)阻止可疑流量。

報(bào)告補(bǔ)充稱，企業(yè)應(yīng)確定最適合其風(fēng)險(xiǎn)狀況和胃口的規(guī)模和門檻。

“保護(hù)我們的數(shù)據(jù)不被黑客和網(wǎng)絡(luò)罪犯竊取的唯一方法是為我們的安全團(tuán)隊(duì)提供一套激勵(lì)自動(dòng)響應(yīng)的規(guī)則，”報(bào)告總結(jié)道。