欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

大数据闯入防火墙:究竟大数据如何应用在防御方案中?

来源:本站整理 作者:佚名 时间:2014-12-04 TAG: 我要投稿

 

安全威胁不断转变,黑客的技术亦愈来愈高;相反很大比例的网络安全厂商却仍然停留在传统的防护方式,那就是针对网络入口进行防护;因此作为企业也应时刻审查本身正採用的方案是否能满足现今安全趋势,而针对新式的攻击活动,企业亦应该作出相应改变才是致胜之道。

话又说回来,究竟传统上,黑客攻击企业系统时,其着眼点会放在那裡呢?概括而言,传统黑客攻击心态上往往是「目标为本」,亦即是说在攻击的设计上只针对特定目标,例如针对入侵系统的某一位置、偷取指定位置的暂存档案等等;但正所谓「道高一尺、魔高一仗」,现今黑客攻击的心态已变得更广泛,单次攻击往往反而着眼于攻击过程,例如会考虑到完成攻击后,所偷取的数据应暂存在受害者系统之中的那一位置才最安全?如何能植入木马或 C&C Server 以随时监测用户的最新动向而不被发现等等。

大部份防护方案针对网络入口

上面都提过,现时大部份防护方案主力针对网络入口进行检测以及拦截等动作,但往往却忽略了一旦误判又或者被成功入侵后的防护工作;当然不是完全没有,但对比针对入口的防护功能,明显在级数上有一定差距;其实企业在选购相关方案时,应考虑一些能面对黑客成功入侵后,自动作一些动作以降低其入侵影响的方案;同时企业亦应每年针对 IT 设备作审计,以便及时揪出问题及保安漏洞,这样才可确保整体安全。

大数据套用到保安方案中

即使企业找到了一套能符合上方要求的方案,企业还要解决另一头痛问题,那就是常见的零日攻击及漏洞;所谓的零日攻击就是黑客发现了一些前所未见的最新漏洞,并通过这些仍未及时释出修正档案的漏洞向目标发动入侵/攻击;这种漏洞的确十分难应付,所以企业的防护方案亦必须同时支缓大数据以及同时将防护功能整合一起,只有这样企业才较为能解决到传统由发现漏洞 -> 分析 -> 製作修正档 -> 推送至用户端所需时间。

结合大数据的防护方案我们都曾经介绍过,在这种模式下,网络相关数据将会持续被收集,而同时系统亦会不停地进行分析,这样便可以缓解零日攻击所带来的影响,并且在漏洞出现前先行估算整体风险指数。

大数据如何塞进防护方案之中?

分析对于应付未知威胁十分重要,通过分析资安人员可进一步了解整个环境的状况。对用户和全球情报收集及分析亦有莫大帮助,以下是常见的玩法:

1. 不停步分析及检测

连续对行为进行分析可令检测更有效,渗入性更强。行为检测方法,如沙盒,可作为连续分析的一个位置。行为执行时,沙盒的特性令恶意活动不会影响实际环境,而所有异常活动通过在沙盒之中进行分析后,有问题的大部份都会被捕捉。

2. 分析并自动生成纪录

下一步就是系统会实时监测数据、文件、异常活动等,然后便可进一步处理这些信息,并以此建立活动纪录,对抵挡攻击有更大的帮助。

3. 预测未来攻击

接着,系统便会正式结合大数据分析功能,并持续分析封包、如检查传统的病毒识别签名档、MD5 等等,对比资料库后自动封杀已知危机;而持续分析常见的攻击趋势后,亦可针对未来的攻击活动稍为分析,从而让资安团队能及早作好準备。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。

  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载