合并自動化和分析如何提高IT安全性

2013年11月，早些時候侵入目標(biāo)零售連鎖店服務(wù)器的黑客上傳了惡意軟件，允許他們想竊取的信用卡數(shù)據(jù)被轉(zhuǎn)發(fā)到公司外部。

據(jù)彭博新聞社報道，塔吉特的新火眼檢測軟件發(fā)現(xiàn)了惡意軟件，并向安全團隊發(fā)送了警報。

這本該是分析學(xué)的一次勝利，但卻被忽視了。與此同時，數(shù)千萬的姓名、地址、電話號碼和支付卡數(shù)據(jù)從這家零售商流出。

一段時間以來，CISOs已經(jīng)知道他們需要技術(shù)來幫助他們對抗那些有時間和金錢支持的攻擊者。然而，盡管近年來該行業(yè)做出了巨大努力，但進展一直緩慢——有時，就像塔吉特一樣，受到人們的阻礙。

正如一名前聯(lián)邦調(diào)查局(FBI)特工上月在多倫多的一次會議上所說，這是許多大型數(shù)據(jù)泄露事件中反復(fù)出現(xiàn)的一個主題:警告是存在的，但不知怎的，它們沒有被看到，也沒有被執(zhí)行。

Forrester Research的企業(yè)安全分析師約翰?金德瓦格(John Kindervag)表示:“盡管分析是未來的趨勢，但我們距離真正有能力對安全進行有用的分析，還有很長的路要走?！?/p>

其他人則更有希望。在最近的一次采訪中，預(yù)測分析公司FICO (Fair Isaac Corporation)新任首席分析官斯科特·佐爾迪(Scott Zoldi)談到了該公司如何將其欺詐檢測技術(shù)應(yīng)用到即將推出的網(wǎng)絡(luò)安全解決方案中，以幫助改善保護。

他表示:“網(wǎng)絡(luò)的挑戰(zhàn)之一是，數(shù)據(jù)在不斷變化，攻擊在不斷變化，有必要對數(shù)據(jù)進行動態(tài)分析?！薄拔覀兺ǔ７Q其為流分析——這實際上意味著你不會根據(jù)去年的威脅數(shù)據(jù)建立一個模型，因為你知道攻擊模式正在改變?！?/p>

的流數(shù)據(jù)(包括Netflow信息、DNS信息DHCP變化,ICMP記錄等)建立所謂的事務(wù)行為概要描述典型的使用設(shè)備或交通設(shè)備,如《紐約時報》的一天活動,網(wǎng)站是什么,在什么。從這一點上，軟件可以看出模式中的偏差。

分析人員建立了一個模型來生成一個分數(shù)，infosec專業(yè)人員可以使用這個分數(shù)來做決策——其中一些可以被自動化。

FICO即將推出的網(wǎng)絡(luò)安全解決方案將增加來自其他供應(yīng)商解決方案的深度數(shù)據(jù)包檢查，以創(chuàng)建分數(shù)。

“移動在工業(yè)和FICO和讓這些這些分析更容易一個業(yè)務(wù)或技術(shù)所有者可能沒有一組數(shù)據(jù)科學(xué)家,“Zolti添加——例如FICO的決定有一個自動化modeler管理套件,讓用戶點數(shù)據(jù)和標(biāo)簽在事務(wù)時,按下按鈕,它會生成一個模型。

從理論上講，安全信息和事件管理(SIEM)套件，作為大量日志、流和包數(shù)據(jù)注入的管道，以及入侵檢測解決方案，應(yīng)該是分析和自動化的重要來源。相反，它們有時會產(chǎn)生誤報，讓IT安全團隊陷入昏睡狀態(tài)。

舉個例子:目標(biāo)。

Forrester的Kindervag認為，解決方案是一個更自動化的威脅響應(yīng)過程，其基礎(chǔ)是開發(fā)一套網(wǎng)絡(luò)“交戰(zhàn)規(guī)則”，這將使安全和風(fēng)險管理專業(yè)團隊能夠更快地采取行動，阻止數(shù)據(jù)泄露。

一年前，他與人合著了一份報告，該報告表明分析和自動化可以攜手合作。

首先，組織必須創(chuàng)建安全需求的策略聲明。安全團隊將其轉(zhuǎn)換為一組規(guī)則或配置，供分析引擎處理設(shè)備和網(wǎng)絡(luò)數(shù)據(jù)使用。引擎(或者，更準確地說，軟件工具)生成安全團隊用于自動響應(yīng)的風(fēng)險評分。

例如，如果得分上的置信水平很高，潛在影響水平也很高，則聲明的安全策略應(yīng)該規(guī)定安全控制停止或自動阻止可疑流量。

報告補充稱，企業(yè)應(yīng)確定最適合其風(fēng)險狀況和胃口的規(guī)模和門檻。

“保護我們的數(shù)據(jù)不被黑客和網(wǎng)絡(luò)罪犯竊取的唯一方法是為我們的安全團隊提供一套激勵自動響應(yīng)的規(guī)則，”報告總結(jié)道。