郭濤

以前，企業(yè)處在被動(dòng)防御階段，安全工作的重點(diǎn)集中在邊界，想盡辦法不讓黑客攻進(jìn)來。但是現(xiàn)在，由于大數(shù)據(jù)分析工具的運(yùn)用，主動(dòng)防御成為可能。在大數(shù)據(jù)時(shí)代，企業(yè)將掌握網(wǎng)絡(luò)安全的主動(dòng)權(quán)。

人們熟知的平安城市項(xiàng)目中涉及大量攝像頭的部署。一個(gè)小家庭的安全防護(hù)可以靠門、窗、鎖，但是一個(gè)空間開放的城市的防護(hù)可能就要依靠更多的攝像頭。這一點(diǎn)與網(wǎng)絡(luò)安全的演進(jìn)有些類似。以前，企業(yè)主要依靠防火墻、漏洞掃描、殺毒軟件等安全設(shè)備，保護(hù)的是相對(duì)封閉的、有明確界限的企業(yè)內(nèi)部環(huán)境。但是隨著云計(jì)算、互聯(lián)網(wǎng)的興起，企業(yè)的邊界、安全的邊界正逐漸變得模糊。保護(hù)企業(yè)的安全，那些“門、窗、鎖”是必需的，但是如果增添了“攝像頭”，企業(yè)的安全是不是更有保障？

企業(yè)在已經(jīng)建立了一個(gè)基本的安全防御體系，部署了各類安全的軟硬件之后，還應(yīng)該進(jìn)一步建立一個(gè)全面、立體、主動(dòng)的監(jiān)控體系。大數(shù)據(jù)安全就像是“攝像頭+中控”，是這個(gè)立體的監(jiān)控體系的重要組成部分。“大數(shù)據(jù)安全對(duì)于傳統(tǒng)的安全防御市場(chǎng)來說是一種顛覆。不過，大數(shù)據(jù)安全對(duì)于傳統(tǒng)的安全體系來說不是替代，而是必要的補(bǔ)充，是從一個(gè)新的角度來審視安全防御?！盚anSight瀚思CEO高瀚昭表示。

企業(yè)掌握安全的主動(dòng)權(quán)

阿里巴巴集團(tuán)首席風(fēng)險(xiǎn)官劉振飛表示：“在DT（Data Technology）時(shí)代，傳統(tǒng)安全機(jī)制頹勢(shì)盡顯。傳統(tǒng)的企業(yè)安全重在建設(shè)封閉可控的環(huán)境，而互聯(lián)網(wǎng)業(yè)務(wù)最大的特點(diǎn)在于沒有邊界、海量用戶、設(shè)備不可控。在古代戰(zhàn)場(chǎng)上，可以用城墻來防御敵人，但是今天，必須建立立體的防控體系才能保障城市的安全?！?/p>

在“斯諾登”事件曝光后，人們意識(shí)到全面的監(jiān)控是必需的。但是以前由于技術(shù)手段的限制，人們無法對(duì)海量的數(shù)據(jù)進(jìn)行及時(shí)有效的分析?，F(xiàn)在，隨著云計(jì)算、大數(shù)據(jù)、機(jī)器學(xué)習(xí)等技術(shù)的興起，對(duì)海量數(shù)據(jù)進(jìn)行實(shí)時(shí)分析成為可能。大數(shù)據(jù)直接帶動(dòng)了網(wǎng)絡(luò)安全的變革。

最堅(jiān)固的堡壘往往是從內(nèi)部被攻破的。因此，對(duì)所有發(fā)生在企業(yè)內(nèi)部的用戶行為進(jìn)行監(jiān)控和分析，是主動(dòng)防御不可缺少的一環(huán)。對(duì)于用傳統(tǒng)安全手段無法發(fā)現(xiàn)和探知的問題，大數(shù)據(jù)安全可以通過最嚴(yán)密的分析定位問題所在。

現(xiàn)在，銀行都在做數(shù)據(jù)大集中，通常情況下銀行一天的網(wǎng)銀日志數(shù)據(jù)量就達(dá)數(shù)TB，而這么龐大的數(shù)據(jù)以前從來沒有得到過有效分析?，F(xiàn)在有了趁手的大數(shù)據(jù)分析工具，銀行非常積極地利用這些日志數(shù)據(jù)進(jìn)行業(yè)務(wù)分析、運(yùn)維分析和安全分析?！跋胥y行、電力、運(yùn)營(yíng)商、公安等行業(yè)的客戶，在其業(yè)務(wù)發(fā)展到一定規(guī)模后，深知安全性對(duì)其業(yè)務(wù)發(fā)展的重要性，所以對(duì)大數(shù)據(jù)安全有強(qiáng)烈的需求?！备咤逊治稣f，“而一些互聯(lián)網(wǎng)企業(yè)目前將主要精力放在迅速擴(kuò)展業(yè)務(wù)上，而且沒有遇到對(duì)業(yè)務(wù)產(chǎn)生嚴(yán)重影響的安全威脅和事故，所以對(duì)安全系統(tǒng)的建設(shè)關(guān)注不夠?！?/p>

以前，企業(yè)處在被動(dòng)防御階段，安全工作的重點(diǎn)集中在邊界，想盡辦法不讓黑客攻進(jìn)來。但是現(xiàn)在，由于大數(shù)據(jù)分析工具的運(yùn)用，主動(dòng)防御成為可能，企業(yè)可以利用全面、深入且及時(shí)的數(shù)據(jù)分析，發(fā)現(xiàn)過去不曾被發(fā)現(xiàn)的安全漏洞或威脅，甚至可以找出安全攻擊的路徑，提前做出預(yù)警或準(zhǔn)備。在大數(shù)據(jù)時(shí)代，企業(yè)將掌握網(wǎng)絡(luò)安全的主動(dòng)權(quán)。

大數(shù)據(jù)安全拼的是什么？

有了大數(shù)據(jù)這個(gè)重要抓手，網(wǎng)絡(luò)安全可以從以前的被動(dòng)防御轉(zhuǎn)為現(xiàn)在的主動(dòng)防御。以銀行為例，在對(duì)待安全這個(gè)問題上，它們?cè)缇蛼仐壛恕邦^痛醫(yī)頭，腳痛醫(yī)腳”的陋習(xí)，而是在做好基本安全防御（包括建立健全安全規(guī)范和流程）的基礎(chǔ)上，主動(dòng)采用大數(shù)據(jù)安全手段，建立主動(dòng)防御體系。客戶不再單純依賴安全廠商，而是借助大數(shù)據(jù)安全工具，主動(dòng)尋找自己的安全短板，將更多精力放在安全預(yù)測(cè)、主動(dòng)防御上。“國(guó)內(nèi)的一些大型銀行、運(yùn)營(yíng)商都在積極實(shí)施主動(dòng)防御。”高瀚昭介紹說。

在現(xiàn)實(shí)世界中，80%～90%的數(shù)據(jù)都可能與安全相關(guān)，所以要盡可能對(duì)所有數(shù)據(jù)源的數(shù)據(jù)進(jìn)行收集、分析。以前，人們認(rèn)為安全威脅都來自外部，所以只要守住企業(yè)與外界之間的那道“墻”，就可以保護(hù)企業(yè)內(nèi)部的安全。其實(shí)，研究發(fā)現(xiàn)，企業(yè)內(nèi)部的數(shù)據(jù)庫也并不安全，可能在用戶不知情的情況下已經(jīng)被黑客侵入。如果用戶不了解這些新的變化，那么安全防御也就無從談起。

“與其說是大數(shù)據(jù)促成了安全從被動(dòng)防御到主動(dòng)防御的轉(zhuǎn)變，不如說是機(jī)器學(xué)習(xí)促進(jìn)了這種轉(zhuǎn)變的發(fā)生?！备咤驯硎?。傳統(tǒng)的安全處理方式是有限的，通常經(jīng)過告警、匯總、分類、排序等環(huán)節(jié)，由人工參與安全信息的處理，最后梳理出的有效的信息可能也就幾十條?，F(xiàn)在，安全分析要處理的數(shù)據(jù)是海量的，就像是大海撈針，如果再依靠人工是不可想象的，而必須依靠機(jī)器學(xué)習(xí)，進(jìn)行深入的行為分析和模式匹配，找到安全漏洞。

賽門鐵克公司也認(rèn)為，機(jī)器學(xué)習(xí)的能力將是未來安全廠商的核心競(jìng)爭(zhēng)力?！皺C(jī)器學(xué)習(xí)的能力將成為衡量一個(gè)大數(shù)據(jù)安全廠商是否優(yōu)秀的重要標(biāo)準(zhǔn)?！备咤呀榻B說，這涉及兩方面的內(nèi)容：一是算法的先進(jìn)性，看哪個(gè)廠商能夠更精準(zhǔn)地找到安全漏洞；第二，威脅情報(bào)庫是否完備。HanSight瀚思持續(xù)不斷地優(yōu)化其機(jī)器學(xué)習(xí)算法的性能，實(shí)現(xiàn)實(shí)時(shí)的分析，1～2秒鐘即可得到結(jié)果，而以前的分析時(shí)間是分鐘級(jí)甚至小時(shí)級(jí)別。另外，機(jī)器學(xué)習(xí)還必須在真實(shí)的應(yīng)用環(huán)境中，建立符合用戶行為基準(zhǔn)的模型，這樣才能保證分析結(jié)果的正確性。

機(jī)器學(xué)習(xí)系統(tǒng)的一個(gè)難點(diǎn)是，系統(tǒng)不容易調(diào)整，通常只有專家才能掌握，實(shí)施起來比較困難。機(jī)器學(xué)習(xí)系統(tǒng)是一個(gè)參數(shù)敏感的系統(tǒng)，參數(shù)的微小調(diào)整都會(huì)讓結(jié)果千差萬別，因此以前大多只用于科研，而只有參數(shù)不敏感、可以自適應(yīng)的機(jī)器學(xué)習(xí)系統(tǒng)才是適合商用的。除了不斷提升機(jī)器學(xué)習(xí)系統(tǒng)的性能以外，HanSight瀚思的另一項(xiàng)工作是實(shí)現(xiàn)機(jī)器學(xué)習(xí)系統(tǒng)的數(shù)據(jù)可視化。通常情況下，機(jī)器學(xué)習(xí)系統(tǒng)得出的結(jié)果是一串?dāng)?shù)字，普通用戶很難理解它所代表的意思，因此就需要廠商運(yùn)用圖計(jì)算、圖數(shù)據(jù)庫，并結(jié)合拓?fù)浣Y(jié)構(gòu)，將數(shù)字轉(zhuǎn)化為直觀的圖形呈現(xiàn)給用戶，比如用一個(gè)點(diǎn)的大小來表示安全問題是否嚴(yán)重。

大數(shù)據(jù)安全的門檻高在哪？

“數(shù)據(jù)驅(qū)動(dòng)安全”這一思想已被越來越多的廠商和用戶所接納。大數(shù)據(jù)與安全碰撞出的火花對(duì)安全市場(chǎng)未來的發(fā)展將起到非常重要的作用。一些傳統(tǒng)的安全廠商已經(jīng)在積極轉(zhuǎn)型。但是船大難掉頭，限于公司原有的架構(gòu)、機(jī)制等方面的原因，傳統(tǒng)安全廠商很難在短時(shí)間內(nèi)在大數(shù)據(jù)安全方面有巨大的突破。像HanSight瀚思這樣的大數(shù)據(jù)安全分析領(lǐng)域的創(chuàng)業(yè)公司則起到了帶頭和引導(dǎo)的作用。

“在中國(guó)，大數(shù)據(jù)安全領(lǐng)域的創(chuàng)業(yè)公司還比較少，其難點(diǎn)在于，企業(yè)必須建立安全信息管理中心，接入各種數(shù)據(jù)源，提供涵蓋前后端的全面支持，工作量非常大。傳統(tǒng)安全廠商只要解決一個(gè)點(diǎn)的安全問題，而大數(shù)據(jù)安全要解決一個(gè)面的問題，要對(duì)所有相關(guān)信息進(jìn)行收集和分析?！备咤岩郧霸谝患野踩矩?fù)責(zé)全球病毒自動(dòng)分析工作，所以才能攬下大數(shù)據(jù)安全這一瓷器活兒。

大數(shù)據(jù)安全的門檻高在哪？全球第一家上市的大數(shù)據(jù)公司Splunk公司是大數(shù)據(jù)安全領(lǐng)域的佼佼者。不過，它也是經(jīng)過了六七年的研發(fā)、醞釀之后，才將其大數(shù)據(jù)安全產(chǎn)品市場(chǎng)化。成立只有兩年的HanSight瀚思已經(jīng)可以交付成熟的企業(yè)級(jí)大數(shù)據(jù)安全平臺(tái)。

Splunk銷售的是大數(shù)據(jù)安全工具，需要客戶在此基礎(chǔ)上做大量的二次開發(fā)，因此對(duì)客戶的專業(yè)技能有一定要求，實(shí)施起來相對(duì)復(fù)雜。另外，作為一個(gè)國(guó)外廠商，Splunk的本地化支持力度也有待加強(qiáng)?！爸袊?guó)客戶傾向于采購‘交鑰匙的解決方案，希望廠商不僅能夠幫助它們發(fā)現(xiàn)安全問題，最好還能一并解決問題。HanSight瀚思能夠滿足中國(guó)用戶的特殊需求?！备咤驯硎?，“在大數(shù)據(jù)安全領(lǐng)域，中外廠商基本處于同一起跑線。我們的產(chǎn)品在分析、展現(xiàn)和模型的建立上并不遜于國(guó)外的產(chǎn)品。在國(guó)內(nèi)，我們已經(jīng)有了許多大中型的企業(yè)客戶。”

在中國(guó)，HanSight瀚思有三個(gè)業(yè)務(wù)基地：成都主要負(fù)責(zé)SOC（安全運(yùn)營(yíng)中心）的建立，以及算法的研究；北京負(fù)責(zé)企業(yè)版大數(shù)據(jù)安全產(chǎn)品的交付；南京的重點(diǎn)放在SaaS服務(wù)的交付。高瀚昭介紹說：“我們的SaaS安全產(chǎn)品正在研發(fā)中，計(jì)劃于3月發(fā)布。實(shí)施SaaS的前提是要將用戶場(chǎng)景最小化，支持標(biāo)準(zhǔn)化的硬件，包括常用的交換機(jī)、防火墻等。SaaS安全服務(wù)的興起可以讓大量互聯(lián)網(wǎng)企業(yè)受益。在互聯(lián)網(wǎng)平臺(tái)上，數(shù)據(jù)可以充分共享，在此基礎(chǔ)上，通過建立一個(gè)虛擬化SOC，可以提供安全評(píng)估服務(wù)、安全監(jiān)控服務(wù)、安全運(yùn)維服務(wù)等，還可以建立一個(gè)全面的安全威脅情報(bào)庫。將互聯(lián)網(wǎng)上的海量信息匯總、分析后，可以為互聯(lián)網(wǎng)用戶提供安全預(yù)警。”