大公网军事讯 信息安全网站infosecisland6月24日发表题为“棱镜:安全大数据分析的成功故事”的文章,从技术层面分析了由斯诺登事件引发全球关注的“棱镜”计划。作者为Tripwire公司首席技术官Dwayne Melancon,文章全文如下:
有关“棱镜”计划的新闻,如果我们撇开政策和政治不谈,它实际上是一个应用“大数据”方法进行安全分析的成功故事。
与其他标榜为“安全战区”的联邦计划不同的是,这一计划实际是利用安全威胁数据和安全分析形成系统方法发现潜在危险局势。如果政府所声称的是确切的话,这一方法已经及时识别威胁,并在攻击发生之前采取了措施。换话句话说,它似乎履行了大数据安全分析的承诺。
美国政府自2006年起就开始实施这一计划,我想在此期间他们已经学会如何成功进行这种分析。
不幸的是,我们可能永远不会获得他们所掌握的许多经验,因此我们就不能够在企业对许多著名方法加以应用。可惜的是,他们在解决安全分析问题方面已经拥有多年的优势,其实本可以帮助许多企业。
我可以想象为什么企业至少在近期在大数据安全分析上不会像棱镜计划那么成功的其他几个原因。例如:
§ 数据源的数量和多样性。企业不能获得足够的数据源,不能达到棱镜的精确性。即使我们能做到,但几乎没有企业具有有效处理海量数据的能力。目前这种SIEM(安全信息和数据管理) 方法在进行长期/历史性数据分析方面行不通,如果你不知道你要寻找的东西,数据包捕获是行不通的。DLP(数字光处理)是错误肯定的灭火水龙带。
§ 专长和人力资本。多数企业的安全小组已经满负荷运转,都是“通才”,每天没有能力专注单一的任务。多数企业没有自主的技能进行大数据集的高级数据分析工作,至少目前还没有。我看到一些公司积极雇佣数据分析专家帮忙,但人力资源库稀缺这些人才。
§ 任务清晰度。“棱镜”有非常明确的任务,有限制的问题空间。企业的职权范围很广泛,但问题空间很大。使得它难以建立可扩展的决定性的分析。
§ 获得本身组织之外的数据。这是一个大问题。即使有组织地进行威胁共享(假定它实际上持续有效),企业自己看到和收集的数据有限。这种局限的视野决定着最终企业安全分析的结果。发现威胁和攻击需要知道的许多东西企业根本看不到。
§ 某些人可能不喜欢我们的所作所为。这是棱镜和企业之间相一致的一个地方。我们收集的越多,我们分析的越多,我们就越可能冒犯别人,或者让一些人对我们的发现感到不快。
以上是几个障碍。显然,这不是说我们不应该继续利用大数据进行更好的安全分析,但这绝非易事。(知远/严美)
大公军事独家稿件,未经许可请勿转载。
