MySQL数据库工程师入门实战课程视频教程
4193 人在学
专题课程
国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此计算机网络的安全可以理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
当上升到信息级别的时候,能否转化成安全工作是唯一真正重要的,只是拥有威胁数据或信息并没有什么价值,除非你能利用它去来提高安全性或低于即将到来的攻击。
威胁数据,信息和情报存在很大的差异,找到并辨别他们彼此之间到底区别,能够帮助企业最大化的利用威胁情报平台所生产的数据
从数据到信息到情报,这些信息的数量在不断地减少,但价值在不断地增加
威胁情报平台只能生产数据和信息,而人工则能区分确实可利用的威胁情报
计算机永远也无法生产真正的威胁情报,但人类也并不适合数据收集和处理大量的威胁数据这两种工作
可落地的安全工作永远是最终的目标,如果不能提高安全性,那么威胁情报是无用的。.
接下来先介绍一下数据安全的基础概念:
信息安全或数据安全[1] 有对立的两方面的含义:一是数据本身的安全,主要是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等,二是数据防护的安全,主要是采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全,数据安全是一种主动的包含措施,数据本身的安全必须基于可靠的加密算法与安全体系,主要是有对称算法与公开密钥密码体系两种。数据处理的安全是指如何有效的防止数据在录入、处理、统计或打印中由于硬件故障、断电、死机、人为的误操作、程序缺陷、病毒或黑客等造成的数据库损坏或数据丢失现象,某些敏感或保密的数据可能不具备资格的人员或操作员阅读,而造成数据泄密等后果。而数据存储的安全是指数据库在系统运行之外的可读性。一旦数据库被盗,即使没有原来的系统程序,照样可以另外编写程序对盗取的数据库进行查看或修改。从这个角度说,不加密的数据库是不安全的,容易造成商业泄密,所以便衍生出数据防泄密这一概念[2] ,这就涉及了计算机网络通信的保密、安全及软件保护等问题。
我们在研究中发现,大多数的组织在投资威胁情报平台的时候都会犯一个巨大的错误,更不幸的是,直到完成整个威胁情报平台解决方案的实施,他们都很少会意识到这个错误。当然,决定投资威胁情报并不是问题,否则我们也不会向我们的客户提供威胁情报服务。这个错误其实更基础——那就是认为威胁情报平台会把一切的事情做好。令人悲伤的是,威胁情报平台并非如此,那么为了回答这个问题,让我们来看看威胁数据,信息和情报之间的区别,和在他们进化的过程中,一个技能熟练经验丰富的分析师能够起到的作用。
数据,信息和情报的最大区别实际上是两点,数据量和可用性。
数据通常可以较为容易地,大量地获取,他们通常在陈述单个的,无可争议的事实。比如某个IP发起了链接请求,就是一个很好的例子,因为这是一个很简单的事实陈述,并没有什么争议性。
而当一系列的数据点被结合起来回答一个简单的问题的时候,信息就产生了。例如,身高和体重组合在一起可以计算出BMI指数,然后可以用这个来绘制一张图表来确定你是否属于正常范围。要注意的是,虽然这个信息比原始的数据更加有用,但这并不能直接驱动行为。
情报则像在利用这些数据和信息来讲述一个故事,这个故事可以用来帮助决策。更重要的是,情报从不回答简单的问题,而是描绘一个能够帮助回答更复杂问题的故事。接着BMI体重指数来举例,你的体重指数可以交由移植委员会来结合相关研究来确定你是否合适进行器官移植。情报从不直接回答你是不是应该移植器官,但情报确实能够帮助人们进行决策。
所以我们从数据到信息到情报的时候,输出的数量急剧下降而价值会成指数级上升就并不奇怪了。下面这张来自美国国防部的 “Joint Publication 2-0: Joint Intelligence” 报告,就能很好的展示从数据到情报这一过程中的步骤和变化。
但这如何套用到安全领域中呢?
那我们来举一个在安全领域中的数据的例子:单个链接请求。就其本身而言,这个数据确定不了任何事情,除了我们收到了一个从特定的IP地址发来的链接请求。
现在让我们来上升到信息,我们假设这个请求在短时间内达到了一个不正常的极高的数值。那么现在我们就可以确定,由于某种原因,这个服务器收到了极大的访问压力,需要处理。
最后,情报层面。结合我们自己过去的经验以及大量的来自僵尸网络的IP的链接,我们可以得出结论:服务器遭受了DDoS攻击。假设我们已有了处理DDoS的方案 ,那么就可以立即采取措施来保护我们的资产。
所以问题在哪里呢?
现在我们已经了解了威胁数据,信息和情报之间的差异性,那么大部分组织会犯的这个巨大的错误就变得容易理解了。
其实很简单,威胁情报平台实际上并不产生真正的威胁情报。听起来很奇怪,但这并不难理解。威胁情报的产生并不仅仅需要一个高度复杂的计算机算法。
大多数现代威胁情报平台都能够很好的收集威胁数据,而这些平台中很大的一部分都是主要用来组织和展现威胁情报,从而帮助安全分析师的工作。有一些威胁情报工具则做了更多的工作,他们能够结合和加工这些威胁数据提取出的信息,这能够大量的节约安全分析师的工作,因为可以排除许多误报并进行很多较为简单的分析。但严格的来说,并没有自动化的产品可以产生真正的威胁情报。只有高度熟练并具有深厚的安全背景的分析师可以有效的提炼出对企业安全系统有效的行动决策。
也就是说,最好的威胁情报供应商和产品,可以达到生产信息之上的高度。那就是使用一个AI,或者更精确的说一个“threat AI”,AI可以处理那些相对简单的威胁情报,但对于那些更复杂的威胁情报,仍然需要人工的参与。
这就是那个大多数组织都会出现的问题:认为采购一个简单的平台就能提供安全情报,而忽视了真正产生情报需要大量的人力。
是的,我们也要承认在没有人工参与的情况下,一些好的威胁情报平台能够提供一些支持。威胁信息能够提供一些简单问题的答案,比如“软件系统存在漏洞么?”这些答案确实是有帮助的。一些更高级的威胁情报产品能提供一些更多的信息,这可以大大减少分析师的负担。但获得真正的有用的威胁情报时,没有什么能代替人脑在这里起到的作用。
信息过载
当我们讨论到这里,可能会有人疑惑如果威胁情报平台不能生产威胁情报,那么到底有什么作用? 最简单的回答就是大数据,我们拿Recorded Future来举个例子。
即使是产生一个很小的威胁情报,也需要大量的威胁数据,简单的威胁情报平台能够获取并整理大量的威胁数据,这使得分析师的工作更容易和他们的输出结果更加有效。
Recorded Future也在收集来自成千上万数据源的数据,并不断识别和自动添加新的数据来源,Recorded Future的threat AI的各种功能都是自动运行的(比如多种语言的自然语言处理功能),数据处理量也是令人惊叹的。平均的来说,Recorded Future每秒钟能够处理超过4000条数据,远超出了人类团队所能达到的极限。
而且这并不仅仅只是识别威胁,平台最重要的作用是剔除这些数据中的误报,这些误报会大量的浪费人力。Recorded Future可以自动过滤掉大部分的误报,让分析师能够更专注于在真正威胁的基础上生产情报。
其他的有价值的功能也是可以自动化的,比如寻找并识别一些特定的数据,或在威胁论坛和网站上搜索一些相关的信息等等。同样的,这些任务利用人力来做是非常繁重的,但对于自动化威胁情报平台来说,相对比较容易。
最终,threat AI和情报平台将会有明显的界限,Recorded Future平台明显是前者。只有真正将分析师和威胁情报产品结合起来,才能形成世界领先的威胁情报能力。
什么让我们领先?
威胁情报产品最重要的功能之一是将威胁数据根据对企业潜在的风险值组织起来,这也是最好的供应商和其他供应商的区别,那就是他们能够自动化排序威胁,这样分析员就可以集中精力分析最重要的威胁数据或者信息。
这就是关键所在。
就像之前描述过的大数据的问题,能够有一个排序威胁的工具是至关重要的,如果需要手动挖掘每一个威胁,你会发现许多紧迫的威胁无法得到及时的处理。
威胁信息的结合和优先级分析是第一要素,所有请谨慎的选择你的供应商。
灯光!摄影!Action!
当上升到信息级别的时候,能否转化成安全工作是唯一真正重要的,只是拥有威胁数据或信息并没有什么价值,除非你能利用它去来提高安全性或低于即将到来的攻击。
毫不奇怪,世界上最好的安全系统们已经随着时间发展出了自己的方式来采取积极的措施来进行防御。每一天他们的分析师都会分析出可操作的情报,用于改善安全机制,关闭漏洞并停止攻击。
如果你想采取一些更主动的方法,可以看看Recorded future的这篇白皮书“Understand Your Attacker: A Practical Guide to Identifying TTPs With Threat Intelligence,”这将帮助您了解威胁行为使用的不同的策略和技术(TTPS)。有了这些信息,你就可以开始系统的提高网络安全并降低组织的威胁了。
虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。
还有更多关于危险数据修复的好办法,仅在课课家教育,我们期待您的咨询!
粤公网安备44010602001432号