大数据安全分析

7/13/2015 6:20:15 PM

1. 定义威胁:这里不是泛泛而谈,如竞争对手、脚本小子等,需要确定针对具体组织的具体威胁。它应该是“发生什么样糟糕的事情,会影响到组织的生存”这样的问题,并且答案应该来自领导层或者是被其认可。一旦关键业务安全需求确定了,就需要深入挖掘可能的威胁,通过研究网络基础设施及相关的业务流程,明确相关研究、生产、存储、加工、访问等相关环节,进而明确可能的入侵及破坏方法。
 2.量化风险:一旦潜在的威胁名单确定,就需要考虑优先级,一般实现的方式是通过计算威胁影响和概率的乘积,得到每个潜在威胁的风险。虽然这种方法可以提供和威胁相关的量化指标,但毕竟是主观的。为保障评估确实符合实际,往往需要一组人来参与量化风险的过程,有些机构还会在这个过程中引入第三方的网络渗透测试人员,共同参与完成这个过程。
3.确定数据源:在这个阶段确定可以提供检测和分析价值的主要数据元,从具有最高风险权重的技术威胁开始,考虑可以从哪里看到威胁相应的线索、证据。比如考虑关键文件服务器的数据泄露威胁,应该确定服务器的架构、网络位置、具有访问权的用户,以及可以获得数据的其它途径。根据这些信息,得到相应的数据源清单。 
4.筛选聚焦:在最后的阶段你需要选择最需要的数据源,这是技术上最深入的步骤,需要评估每个数据源以评估其价值。往往有一些数据源需要很高的存储空间,它提供的价值和处理管理的开销相比,可能不值得收藏。组织必须考虑成本/效益关系,从成本的角度看,这种分析应该考虑到硬件和软件的资源,例如维护产生的人员组织成本,数据存储资源等。可以评估有问题的数据源在分析过程中可能出现的几率。考虑需要到类似这样的程度:哪些类型(源目的地址、端口协议)的PACP包需要捕获,那种windows日志(如登录成功、登录失败、账号创建、文件权限变更等)是最重要的需要保留。
 通过这样的方法,你可以通过直接和业务目标挂钩,以及对业务连续性的威胁来证明需求的合理性,这样也可以较大限度保证之后在基础设施建设上的投入。 
正如之上曾经提到的,威胁为中心的方法强调周期性的过程,需要明白,永远不会完成数据收集的工作,当你做了更多的检测和分析的工作,当网络逐步扩展,需要重新评估你的收集计划。 
七、基于威胁情报和攻击链的方法
ACF虽然是一个经过实践验证的方法,但是也有自身的不足,特别是缺乏实践经验情况下,往往集中在入侵的后期阶段相关数据收集,存在检测纵深不足,缺少冗余的响应时间等风险。这时可以参照一种基于威胁情报和攻击链的方法,用来验证、完善数据收集计划,此方法来源于David J. Bianco的关于情报驱动的企业安全监控的讲演(PPT、视频)。
 
这种方法大体步骤如下,对更详细内容感兴趣的可以去参考他的PPT及视频: 
1.以攻击链为横轴,检测指标(参考之前的《小议威胁情报》)为纵轴,完成对应的表格,体现在攻击的各个阶段可以利用的相关数据;
2.基于不同检测指标对黑客攻击的影响程度,给出评估;
3.基于有效检测APT类型攻击而不被大量报警淹没,给出评估;
4.基于现实中可达的工具能够实现,给出评估;
5.综合以上3项评估的数据,确定数据收集计划。