探索中国CIO人才现状 | 第四季调研报告
大数据如何使黑客人赃俱获?
2013-07-09  作者:CIO时代网 

  企业目前的安全工作完全放错了位,他们只是一味关注如何阻止罪犯,而不是把精力集中于如何第一时间发现入侵者。


  研究表明,企业86%的安全开支用于防止黑客入侵上。但入侵者潜入公司电脑以后,平均416天才会被发现。


  因此,这些不良分子一年到尾都在公司内,目前系统根本不足以发现它们。甚至公司还不是自己发现它们的;94%情况下都是由别人告诉它。


  想要驱逐这些坏分子还真是困难,因为一开始你就没意识到他们的存在。你根本不知道他们在哪里。你尝试修复被盗数据,但坏分子可能无所不在。他们究竟隐藏在哪里呢?研究表明,相比2年前,现在需要71%的额外时间才能发现这些家伙。


  入侵阶段


  答案就是停止把所有资源用于阻止入侵上,重新分配资源到各个入侵阶段。


  把每个入侵阶段都看做建立防御的立足点。我认为短期内最有希望实现的目标是,在对方入侵但尚未盗取数据时,第一时间将其擒拿。


  入侵过程可分为5个独立连锁阶段,该想法最初由LockheedMartin提出。第一阶段是研究,也就是潜在入侵者研究系统和员工的阶段,由于员工们通常对Facebook情有独钟,该阶段对入侵者来说相对简单。


  第二阶段为渗透,也就是罪犯入侵阶段。然后是第三阶段:发现,主要是通过探索内部环境以调查系统安全,并确定最敏感数据位置。第四阶段是捕获。


  90%情况下,入侵者盗取的都是智力财产或客户数据或某种信息。有时也伴随着明显的物理破坏,但很罕见,过去5到10年一共发生了3起物理破坏事件。蠕虫病毒,火焰病毒,一般就是这类型技术---通常都是网络战技术,而不是典型的犯罪。


  最后的阶段就是渗出。这是“清除数据”的花哨军事术语。入侵数据可以以电子加密的方式,通过43端口和SSL通信口输出-那是很难发现的。或者,如我知道市场营销组有很不错的客户数据,也可以入侵并窃取几台笔记本电脑。


  如果安全投资集中在入侵过程的第二阶段,那么企业将不可避免变得十分脆弱,尤其是在入侵者窃取前的第三阶段。


  如果你细细打量当今的入侵类型,你会发现,他们通常以损害用户认证信息的形式出现。他们偷走我的密码,然后模仿我的行为,所以你迫切希望找出这些非寻常行为。


  “我做事有章可循,如果我表现异常时,你就应该好好调查一番了。”


  为分析大数据而设的工具,就是用于此。