安全威脅不斷轉(zhuǎn)變，黑客的技術(shù)亦愈來(lái)愈高；相反很大比例的網(wǎng)絡(luò)安全廠商卻仍然停留在傳統(tǒng)的防護(hù)方式，那就是針對(duì)網(wǎng)絡(luò)入口進(jìn)行防護(hù)；因此作為企業(yè)也應(yīng)時(shí)刻審查本身正採(cǎi)用的方案是否能滿足現(xiàn)今安全趨勢(shì)，而針對(duì)新式的攻擊活動(dòng)，企業(yè)亦應(yīng)該作出相應(yīng)改變才是致勝之道。

　　話又說(shuō)回來(lái)，究竟傳統(tǒng)上，黑客攻擊企業(yè)系統(tǒng)時(shí)，其著眼點(diǎn)會(huì)放在那裡呢？概括而言，傳統(tǒng)黑客攻擊心態(tài)上往往是「目標(biāo)為本」，亦即是說(shuō)在攻擊的設(shè)計(jì)上只針對(duì)特定目標(biāo)，例如針對(duì)入侵系統(tǒng)的某一位置、偷取指定位置的暫存檔案等等；但正所謂「道高一尺、魔高一仗」，現(xiàn)今黑客攻擊的心態(tài)已變得更廣泛，單次攻擊往往反而著眼于攻擊過(guò)程，例如會(huì)考慮到完成攻擊后，所偷取的數(shù)據(jù)應(yīng)暫存在受害者系統(tǒng)之中的那一位置才最安全？如何能植入木馬或 C&C Server 以隨時(shí)監(jiān)測(cè)用戶的最新動(dòng)向而不被發(fā)現(xiàn)等等。

　　大部份防護(hù)方案針對(duì)網(wǎng)絡(luò)入口

　　上面都提過(guò)，現(xiàn)時(shí)大部份防護(hù)方案主力針對(duì)網(wǎng)絡(luò)入口進(jìn)行檢測(cè)以及攔截等動(dòng)作，但往往卻忽略了一旦誤判又或者被成功入侵后的防護(hù)工作；當(dāng)然不是完全沒(méi)有，但對(duì)比針對(duì)入口的防護(hù)功能，明顯在級(jí)數(shù)上有一定差距；其實(shí)企業(yè)在選購(gòu)相關(guān)方案時(shí)，應(yīng)考慮一些能面對(duì)黑客成功入侵后，自動(dòng)作一些動(dòng)作以降低其入侵影響的方案；同時(shí)企業(yè)亦應(yīng)每年針對(duì) IT 設(shè)備作審計(jì)，以便及時(shí)揪出問(wèn)題及保安漏洞，這樣才可確保整體安全。

　　大數(shù)據(jù)套用到保安方案中

　　即使企業(yè)找到了一套能符合上方要求的方案，企業(yè)還要解決另一頭痛問(wèn)題，那就是常見(jiàn)的零日攻擊及漏洞；所謂的零日攻擊就是黑客發(fā)現(xiàn)了一些前所未見(jiàn)的最新漏洞，并通過(guò)這些仍未及時(shí)釋出修正檔案的漏洞向目標(biāo)發(fā)動(dòng)入侵/攻擊；這種漏洞的確十分難應(yīng)付，所以企業(yè)的防護(hù)方案亦必須同時(shí)支緩大數(shù)據(jù)以及同時(shí)將防護(hù)功能整合一起，只有這樣企業(yè)才較為能解決到傳統(tǒng)由發(fā)現(xiàn)漏洞 -> 分析 -> 製作修正檔 -> 推送至用戶端所需時(shí)間。

　　結(jié)合大數(shù)據(jù)的防護(hù)方案我們都曾經(jīng)介紹過(guò)，在這種模式下，網(wǎng)絡(luò)相關(guān)數(shù)據(jù)將會(huì)持續(xù)被收集，而同時(shí)系統(tǒng)亦會(huì)不停地進(jìn)行分析，這樣便可以緩解零日攻擊所帶來(lái)的影響，并且在漏洞出現(xiàn)前先行估算整體風(fēng)險(xiǎn)指數(shù)。

　　大數(shù)據(jù)如何塞進(jìn)防護(hù)方案之中？

　　分析對(duì)于應(yīng)付未知威脅十分重要，通過(guò)分析資安人員可進(jìn)一步了解整個(gè)環(huán)境的狀況。對(duì)用戶和全球情報(bào)收集及分析亦有莫大幫助，以下是常見(jiàn)的玩法：

　　1. 不停步分析及檢測(cè)

　　連續(xù)對(duì)行為進(jìn)行分析可令檢測(cè)更有效，滲入性更強(qiáng)。行為檢測(cè)方法，如沙盒，可作為連續(xù)分析的一個(gè)位置。行為執(zhí)行時(shí)，沙盒的特性令惡意活動(dòng)不會(huì)影響實(shí)際環(huán)境，而所有異�；顒�(dòng)通過(guò)在沙盒之中進(jìn)行分析后，有問(wèn)題的大部份都會(huì)被捕捉。

　　2. 分析并自動(dòng)生成紀(jì)錄

　　下一步就是系統(tǒng)會(huì)實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)、文件、異常活動(dòng)等，然后便可進(jìn)一步處理這些信息，并以此建立活動(dòng)紀(jì)錄，對(duì)抵擋攻擊有更大的幫助。

　　3. 預(yù)測(cè)未來(lái)攻擊

　　接著，系統(tǒng)便會(huì)正式結(jié)合大數(shù)據(jù)分析功能，并持續(xù)分析封包、如檢查傳統(tǒng)的病毒識(shí)別簽名檔、MD5 等等，對(duì)比資料庫(kù)后自動(dòng)封殺已知危機(jī)；而持續(xù)分析常見(jiàn)的攻擊趨勢(shì)后，亦可針對(duì)未來(lái)的攻擊活動(dòng)稍為分析，從而讓資安團(tuán)隊(duì)能及早作好準(zhǔn)備。

　　4. 調(diào)查更快更有效

　　真實(shí)的網(wǎng)絡(luò)活動(dòng)配合上 Indicators of Compromises (IoCs) 模式為基礎(chǔ)，從而加快資安團(tuán)隊(duì)了解和審視攻擊行為；藉由結(jié)合大數(shù)據(jù)分析，安全團(tuán)隊(duì)便可以更快識(shí)別特定的塬因，從而能盡可能阻止即將到來(lái)的進(jìn)一步動(dòng)作，提升反應(yīng)以及整體效率。 

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：大數(shù)據(jù)闖入防火墻：究竟大數(shù)據(jù)如何應(yīng)用在防御方案中？

本文網(wǎng)址：http://www.oesoe.com/html/consultation/10839717414.html