威脅情報(bào)為何需要數(shù)據(jù)湖
Data Lake不是一個新的概念,Pentaho公司創(chuàng)始人James Dixon早在2010年便創(chuàng)造了“數(shù)據(jù)湖”這個術(shù)語。隨后幾年,數(shù)據(jù)湖一直處于不溫不火狀態(tài),更多的是在一些開源項(xiàng)目上得以應(yīng)用。但在近兩年,數(shù)據(jù)湖已經(jīng)成為從大型數(shù)據(jù)存儲庫中的數(shù)據(jù)挖掘中形成競爭性見解的關(guān)鍵工具,在網(wǎng)絡(luò)威脅治理方面更是發(fā)揮著奇效。
圖:安全數(shù)據(jù)湖為戰(zhàn)略型與戰(zhàn)術(shù)型威脅情報(bào)提供智能轉(zhuǎn)換
其實(shí)數(shù)據(jù)湖技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用并非新寵,據(jù)了解,亞信安全的安全數(shù)據(jù)湖威脅情報(bào)系統(tǒng)已建設(shè)多年。隨著數(shù)字化進(jìn)程在各個行業(yè)的加速,Security Data Lake已經(jīng)成為高級威脅預(yù)警和攔截的超級大腦,用于解決網(wǎng)絡(luò)威脅數(shù)量、響應(yīng)速度和精度等技術(shù)難題。
數(shù)據(jù)顯示,全球每年新增惡意軟件樣本數(shù)超過1.2億,相當(dāng)于每天33.3萬個新樣本,每分鐘230個新樣本,每秒鐘接近4個新惡意軟件樣本。由此,數(shù)據(jù)湖首先解決了可以容納大量威脅數(shù)據(jù)樣本的問題。其次,數(shù)據(jù)湖可以更好地支撐與預(yù)測分析、跨領(lǐng)域分析、主動分析、實(shí)時分析以及多元化結(jié)構(gòu)化數(shù)據(jù)分析,可以加速惡意軟件特征與樣本庫DNA對比過程,從而實(shí)現(xiàn)從戰(zhàn)略級到戰(zhàn)術(shù)級的落地。最后一點(diǎn),數(shù)據(jù)湖能夠與網(wǎng)絡(luò)端點(diǎn)層面以及其他安全策略執(zhí)行設(shè)備形成“聯(lián)動”機(jī)制,這也是網(wǎng)絡(luò)威脅領(lǐng)域最獨(dú)特的應(yīng)用優(yōu)勢。
數(shù)據(jù)湖在威脅治理領(lǐng)域的成功應(yīng)用
《亞信安全2020年度安全威脅回顧及預(yù)測報(bào)告》中顯示,2020年共檢測并攔截5.5億個惡意程序攻擊、2億條惡意URL地址以及1.1億個Android平臺惡意代碼,此外還協(xié)助用戶成功攔截85,421次勒索病毒,并對其攻擊方式形成了詳細(xì)的溯源分析報(bào)告。而在其背后,安全數(shù)據(jù)湖無疑發(fā)揮著重要作用。
【圖:亞信安全安全數(shù)據(jù)湖威脅情報(bào)系統(tǒng)體系】
亞信安全的安全數(shù)據(jù)湖威脅情報(bào)體系包括了安全數(shù)據(jù)湖大數(shù)據(jù)系統(tǒng)、情報(bào)采集集群、智能防護(hù)網(wǎng)絡(luò)和TIP SaaS威脅情報(bào)平臺4大子系統(tǒng),其采用的超大型彈性采集集群架構(gòu)設(shè)計(jì),為內(nèi)部情報(bào)源、戰(zhàn)術(shù)情報(bào)源、戰(zhàn)略情報(bào)源提供了性能強(qiáng)大的智能化容器。目前,亞信安全數(shù)據(jù)湖利用自動化系統(tǒng),在全球范圍主動采集威脅情報(bào)數(shù)據(jù),覆蓋了150個數(shù)據(jù)源,每天數(shù)據(jù)的采集和更新情報(bào)量超過1億條,日均增加存儲量超過1TB。
目前,亞信安全在威脅情報(bào)方面與各大友商和機(jī)構(gòu)的有著緊密的聯(lián)動,同時也與國內(nèi)運(yùn)營商保持長期穩(wěn)定的合作,形成了廣泛的威脅情報(bào)共享機(jī)制與協(xié)同處理機(jī)制。除了數(shù)量級別方面的優(yōu)勢之外,亞信安全在威脅情報(bào)領(lǐng)域擁有過硬的技術(shù)實(shí)力,能實(shí)現(xiàn)廣泛的情報(bào)采集、賦能、反饋、聯(lián)動。其中,終端安全風(fēng)險(xiǎn)探針技術(shù)產(chǎn)品,不僅可以為數(shù)據(jù)湖提供實(shí)時數(shù)據(jù)采集,還通過本地沙箱及SPN網(wǎng)絡(luò)的智能響應(yīng)回路方式,在安全威脅還未造成巨大破壞之前,就通過應(yīng)急響應(yīng)能力進(jìn)行封堵。
全網(wǎng)免疫將是威脅情報(bào)技術(shù)發(fā)展的終極目標(biāo)
當(dāng)前,全球經(jīng)濟(jì)正在進(jìn)行數(shù)字化轉(zhuǎn)型,物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、5G、智能制造等新技術(shù)在為企業(yè)和機(jī)構(gòu)帶來了巨大機(jī)遇的同時,也帶來了日益復(fù)雜多樣化網(wǎng)絡(luò)風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)和需求的推動下,整個威脅情報(bào)行業(yè)取得巨大的發(fā)展和進(jìn)步,威脅情報(bào)可以應(yīng)用于很多產(chǎn)品和場景,不管是在態(tài)勢感知和日志型的方案里,還是在網(wǎng)絡(luò)流量檢測中(NDR),包括在終端的檢測中(EDR),威脅情報(bào)都發(fā)揮了決定性的作用,而安全數(shù)據(jù)湖技術(shù)則是里面的靈魂。
亞信安全長期以來不斷將深度威脅情報(bào)和安全技術(shù)轉(zhuǎn)化成最新的安全解決方案和服務(wù),為企業(yè)及個人用戶提供可以信賴的安全保護(hù)。未來,隨著“安全定義邊界”等理念的推廣實(shí)踐,亞信安全將通過安全湖平臺、XDR、端點(diǎn)一體化保護(hù)解決方案等產(chǎn)品組合,為用戶提供阻斷能力、控制能力、免疫能力,全面抵御復(fù)雜的和不斷演化的數(shù)字威脅。
