巨量分析應用與新型態資安防護
科技發展日新月異,就連資安威脅也不例外。資安科技研究所毛敬豪博士指出,2013年全球在防火牆(Firewall)、入侵預防(Intrusion Prevention)與端點防護(Endpoint Protection)已投入超過1,200億美元,Garnter更預測在2017年時,25%的企業網路流量將會直接從行動裝置到雲端,也因此將會會跳過傳統資安防護機制,面對新型態的資安威脅,企業必須思考因應之道。
毛敬豪指出,從司諾登(Snowden)事件中可以得知,分析稽核軌跡,測知異常行為並主動警示的迫切性。因為司諾登先是以外包廠商的身分,取得美國國家安全局(National Security Agency;NSA)內部的第二級控管權限,進而設法取得最高級的控管權限,但他不是一次就取得,如果NSA能進行分析稽核軌跡,就不會讓他取得這麼機密的資料。
此外,目標式攻擊層面也開始擴展至中小企業,龐大的資安訊息要如何執行倉儲、分析及後續加值應用,將是未來必須面對的挑戰。毛敬豪認為,資安威脅分析與聯防,將是未來因應新型態資安威脅時的首要之務,要從傳統資安設備關聯規則比對,提升與擴大應用層、雲端服務日誌監控與分析,不能只看網路設備的紀錄而已,必須要針對企業的狀況客製化,同時對於外部威脅及內部合規進行監控。
毛敬豪指出,目前由個人行為所產生的資料,佔全數數位資料的70%,其中有85%的資料為非結構化資料,壓縮及製作索引都非常不容易,分析也變得比較困難。但即使是結構化資料,分析的壓力也非常大,毛敬豪以飛機引擎為例,一個小時會產生的資料紀錄就高達20TB,一年累積產生的紀錄高達1,041,600,500TB,分析難度可想而知。
然而,資訊安全分析所面臨的挑戰,就是當資安威脅發生時,能夠反應的時間非常緊迫,而要在這麼多的資料中,找到需要的資訊很不容易。毛敬豪認為,要面對大量、雜訊、資料分布不平均、時間緊急的挑戰,首先要建立的觀念,就是大多數的紀錄其實並沒有分析的價值,有無必要針對全部的資料進行分析,是一個值得探討的議題。
巨量資料分析需要面對的問題包括儲存及分析兩大領域,其中又以安全性資訊和事件管理(Security Information Event Management;SIEM)與巨量資料分析有著密切關聯。毛敬豪指出,是因為應用層的紀錄也應該納入資安監控範圍,才能設法讓資安監控規則能適用於真正的運作,如針對員工登錄的次數、時間及連結到網路硬碟的次數進行分析,就可能可以判斷出員工是否倦勤,但許多企業因為直接使用Dropbox之類的雲端服務,如何監控是個值得關注的領域。
而這些攸關資安的資料特性,因為符合巨量資料的特性,也因此發展出安全分析服務(Security Analytics Service Provider;SASP)核心技術,可以自動分析威脅行為樣式,掌握威脅情報,即時回饋防護產品進行加值聯防,成為資安產業朝服務轉型升級發展的關鍵。
毛敬豪指出,業者首先要建立異質性資料情蒐機制,善用各種工具,快速找出攻擊的特徵,如攻擊特徵萃取技術,是將異質資安情資的聚合成果,應用可擴展性的資料探勘技術,萃取跨異質性、跨區域性與跨時間性的資安威脅樣態特徵。
另一種技術為長週期威脅趨勢分析技術,是將多面向威脅樣態與資料特徵,透過圖形探勘及圖形擴散與推論技術,持續剖析大規模異質網路節點與服務的威脅發生週期頻率、擴散趨勢及潛在威脅,以此來制定更進一步的資安政策。
但事實上,許多企業現在面對的巨量資料分析問題,如跨組織交流情報、完整行為監測等,關鍵在於能否持續監測,尤其是以雲端環境為基礎的社群訊息,更是重要。毛敬豪認為,企業絕對不能不理會社群網站流傳的資訊。
為了找出社群網站的資安威脅,毛敬豪建議可以先從名人著手,以資安議題為例,可以先尋找誰是資安領域較為知名的人物,延伸到1萬多個資安專家後,然後再看誰是最快傳遞訊息的人(Gossipmongers),最後是找出教父等級的專家(Gray Cardinal),因為講話最有份量,影響力最大,也就成為最重要的關注對象,從群聚現象中可以看到,資訊互相交流頻繁,有助於找出趨勢,最後建立完整構面的資料。
毛敬豪指出,巨量資料雖然熱門,有其價值存在,但不能人云亦云,價格、技術都是目前可能面臨的問題,要先了解有哪些狀況,再決定要進行什麼投資,才不會浪費,真的要做巨量資料研究,從SIEM著手是不錯的選擇。