當企業(yè)邁進大數(shù)據(jù)時代，信息安全面臨多重挑戰(zhàn)。數(shù)據(jù)大集中的安全隱患重重，而大數(shù)據(jù)不僅被用來找出潛在威脅，也被黑客用來實現(xiàn)更精準的打擊。大數(shù)據(jù)來襲，企業(yè)不僅要學(xué)習(xí)如何挖掘數(shù)據(jù)價值，使其價值最大化，還要統(tǒng)籌安全部署，以免遭到更強有力的攻擊，降低企業(yè)風險。 大數(shù)據(jù)會捅大婁子？ 毫無疑問，企業(yè)正在擁抱大數(shù)據(jù)，并且將大數(shù)據(jù)挖掘和分析能力作為企業(yè)核心競爭力的關(guān)鍵。Gartner一個悲觀的預(yù)測認為：到2015年，超過85%的財富500強企業(yè)將無法有效利用大數(shù)據(jù)帶來的競爭優(yōu)勢。Garnter認為，大數(shù)據(jù)不僅是量多，還包括復(fù)雜性、多樣性和數(shù)據(jù)傳輸速度等問題，“單單收集和分析數(shù)據(jù)是不夠的，企業(yè)還必須具備實時提供數(shù)據(jù)的能力，以對企業(yè)的生產(chǎn)力、盈利能力或效率帶來實質(zhì)的影響，并制定出相應(yīng)對策”。

對于大數(shù)據(jù)，企業(yè)還需要考慮如何應(yīng)對數(shù)據(jù)泄露風險，并且建立相關(guān)預(yù)案，因為大數(shù)據(jù)對分析和計算性能要求提高的同時，還帶來了更多安全風險。正如Gartner論斷的那樣：“大數(shù)據(jù)安全是一場必要的斗爭。”

大數(shù)據(jù)來襲，你準備好了嗎？

數(shù)據(jù)分析和業(yè)務(wù)緊密相關(guān)

Gartner的數(shù)據(jù)顯示，近兩年產(chǎn)生的數(shù)據(jù)量是過去互聯(lián)網(wǎng)出現(xiàn)以來所有數(shù)據(jù)量的總和。而隨著社交網(wǎng)絡(luò)和移動設(shè)備的普及，企業(yè)80%的數(shù)據(jù)是非結(jié)構(gòu)化或半結(jié)構(gòu)化的，結(jié)構(gòu)化數(shù)據(jù)僅有20%。同時，全球結(jié)構(gòu)化數(shù)據(jù)增長速度約為32%，而非結(jié)構(gòu)化數(shù)據(jù)的增速則高達63%。

大數(shù)據(jù)為傳統(tǒng)安全防護帶來不小的安全挑戰(zhàn)。中國電子信息產(chǎn)業(yè)發(fā)展研究院信息安全研究所分析師王闖表示，大數(shù)據(jù)時代的安全與傳統(tǒng)安全相比，變得更加復(fù)雜。“這體現(xiàn)在兩方面：一方面，大量的數(shù)據(jù)匯集，包括大量的企業(yè)運營數(shù)據(jù)、客戶信息、個人的隱私和各種行為的細節(jié)記錄。這些數(shù)據(jù)的集中存儲增加了數(shù)據(jù)泄露風險，而這些數(shù)據(jù)不被濫用，也成為人身安全的一部分。另一方面，大數(shù)據(jù)對數(shù)據(jù)完整性、可用性和秘密性帶來挑戰(zhàn)，在防止數(shù)據(jù)丟失、被盜取和被破壞上存在一定的技術(shù)難度，傳統(tǒng)的安全工具不再像以前那么有用。”

“由于這些數(shù)據(jù)已經(jīng)成為企業(yè)生存的根本，信息安全防護體系的建設(shè)越發(fā)重要了。但是面對海量的數(shù)據(jù)收集、存儲、管理、分析和共享，傳統(tǒng)意義上的網(wǎng)絡(luò)與信息安全面臨新的問題。”王闖認為，“企業(yè)要從網(wǎng)絡(luò)安全、數(shù)據(jù)安全、災(zāi)難備份和安全管理等各個角度考慮，部署整體的安全解決方案，來保障企業(yè)數(shù)據(jù)安全。”

知易行難。當企業(yè)用數(shù)據(jù)挖掘和數(shù)據(jù)分析獲取商業(yè)價值的時候，黑客也可以利用大數(shù)據(jù)分析向企業(yè)發(fā)起攻擊。“黑客最大限度地收集更多有用信息，比如社交網(wǎng)絡(luò)、郵件、微博、電子商務(wù)、電話和家庭住址……為發(fā)起攻擊做準備。尤其當你的VPN賬號被黑客獲取時，黑客就可以獲取你在單位的工作信息，進而入侵企業(yè)網(wǎng)絡(luò)。”綠盟科技首席戰(zhàn)略官趙糧表示，大數(shù)據(jù)分析讓黑客的攻擊更精準。

通常，那些對大數(shù)據(jù)分析有較高要求的企業(yè)，會面臨更多的挑戰(zhàn)，例如電子商務(wù)、金融、天氣預(yù)報的分析預(yù)測、復(fù)雜網(wǎng)絡(luò)計算和廣域網(wǎng)感知等。啟明星辰核心研究院資深研究員周濤告訴記者，任何一個會誤導(dǎo)目標信息的提取和檢索的攻擊都是有效攻擊，因為這些攻擊對安全廠商的大數(shù)據(jù)安全分析產(chǎn)生誤導(dǎo)，導(dǎo)致其分析偏離正確的檢測方向。“這些攻擊需要我們集合大量數(shù)據(jù)，進行關(guān)聯(lián)分析才能夠知道其攻擊意圖。大數(shù)據(jù)安全是跟大數(shù)據(jù)業(yè)務(wù)相對應(yīng)的，傳統(tǒng)時代的安全防護思路此時難以起效，并且成本過高。”在周濤的眼里，與傳統(tǒng)安全相比，大數(shù)據(jù)安全的最大區(qū)別是，“安全廠商在思考安全問題的時候首先要進行業(yè)務(wù)分析，并且找出針對大數(shù)據(jù)的業(yè)務(wù)的威脅 ，然后提出有針對性的解決方案。”#p#

NoSQL并非萬無一失

Hadoop作為一個分布式系統(tǒng)架構(gòu)，可以用來應(yīng)對海量數(shù)據(jù)的存儲，而這樣的數(shù)據(jù)量往往是以PB甚至ZB來計算。作為一個云化的平臺，Hadoop自身也存在著云計算面臨的安全風險。正如王闖所言，企業(yè)需要實施基于身份驗證的安全訪問機制。此外，由Hadoop派生的新數(shù)據(jù)集也同樣面臨著數(shù)據(jù)加密的問題，Hadoop對數(shù)據(jù)的聚合增加了數(shù)據(jù)泄露的風險。

談到大數(shù)據(jù)的存儲，就不能不談NoSQL。它迎合了大數(shù)據(jù)的時代，更適合非結(jié)構(gòu)化數(shù)據(jù)的存儲和分析，有靈活、可擴展性強、降低復(fù)雜性等特點，因此被IT企業(yè)看好。但NoSQL并不像它看上去的那么美，其安全性一直在業(yè)界存有爭議。而這也可能會成為NoSQL發(fā)展最大的桎梏。

NoSQL的出現(xiàn)主要是用來處理海量數(shù)據(jù)，所以它在設(shè)計時犧牲了一些SQL數(shù)據(jù)庫的特性，例如數(shù)據(jù)庫事務(wù)的一致性需求、數(shù)據(jù)庫的寫實時性和讀實時性需求、多表關(guān)聯(lián)查詢的需求等。這些簡化設(shè)計大大提高了NoSQL處理海量數(shù)據(jù)時的速度，也提高了可擴展性，但同時也帶來了一些安全風險。 一方面，NoSQL內(nèi)在安全機制不完善，導(dǎo)致安全風險。“例如NoSQL的代碼沒有在每個事務(wù)修改后要求一致性，用戶可能無法看到最新的數(shù)據(jù)，因為事務(wù)沒有立刻寫入數(shù)據(jù)庫，有可能同步發(fā)生的事務(wù)受到其他事務(wù)干擾。不是所有的用戶一定會在同一時間查看同一個數(shù)據(jù)。”王闖表示，

“NoSQL數(shù)據(jù)庫缺乏保密性和完整性的特質(zhì)。例如NoSQL數(shù)據(jù)庫缺少圖式（schema），你不能在表、行或列上分隔權(quán)限并保持對數(shù)據(jù)的快速訪問，它們很少有內(nèi)建的安全機制。”

另一方面，NoSQL對來自不同系統(tǒng)、不同應(yīng)用程序及不同活動的數(shù)據(jù)進行關(guān)聯(lián)，人們擔心隱私遭到侵犯。今年3月，谷歌修改其隱私保護政策，允許谷歌融合來自所有服務(wù)中的信息。對此王闖表示：“將不同應(yīng)用的信息加以整合可能為企業(yè)帶來更多價值，但是對員工而言，則可能會導(dǎo)致更多隱私被挖掘出來。”

“由于大家都剛剛接觸NoSQL，因此他們所首先要解決的問題是使其正常運轉(zhuǎn)，也就是說大家往往會滿足于正常運轉(zhuǎn)這一狀態(tài)，至于安全性估計要到一段時間后才會被重視起來。”Imperva公司創(chuàng)始人兼CTO Amichai Shulman預(yù)計，由于大多數(shù)人對NoSQL缺乏足夠的了解，用戶在部署時很可能“捅出大婁子”。

“大數(shù)據(jù)的體現(xiàn)形式歸根結(jié)底還是靜態(tài)存儲狀態(tài)。靜態(tài)存儲的數(shù)據(jù)是大數(shù)據(jù)非常明顯的一個挑戰(zhàn)。”Websense中國區(qū)技術(shù)總監(jiān)陳綱認為，數(shù)據(jù)大集中的后果是復(fù)雜多樣的數(shù)據(jù)存儲在一起，例如開發(fā)數(shù)據(jù)、客戶資料和經(jīng)營數(shù)據(jù)存儲在一起，可能會出現(xiàn)違規(guī)地將某些生產(chǎn)數(shù)據(jù)放在經(jīng)營數(shù)據(jù)存儲位置的情況，造成企業(yè)安全管理不合規(guī)。此時，企業(yè)的安全措施需要從企業(yè)內(nèi)部拓展到數(shù)據(jù)中心或者運營商。 　　2012年RSA大會上，RSA總裁Tom Heiser表示，RSA和EMC在身份認證和大數(shù)據(jù)上的優(yōu)勢會在未來凸顯，“企業(yè)面對高持續(xù)性安全威脅的情況下，安全投入會持續(xù)增加。同時安全技術(shù)市場也將發(fā)生變化，基于傳統(tǒng)安全的防病毒、防火墻和IPS的技術(shù)和解決方案會向以身份認證和大數(shù)據(jù)分析監(jiān)控的技術(shù)方向轉(zhuǎn)化。”#p#

APT攻擊更囂張

火焰病毒爆發(fā)備受關(guān)注。由于隱蔽性強，火焰病毒在潛藏了將近兩年之后才被人們發(fā)現(xiàn)，高級持續(xù)性攻擊（APT攻擊）的厲害性也再次被人們所認識。

大數(shù)據(jù)為黑客發(fā)起攻擊提供了更多機會。利用大數(shù)據(jù)，黑客可以擴大攻擊的效果。這主要體現(xiàn)在三個方面：首先，黑客利用大數(shù)據(jù)發(fā)起僵尸網(wǎng)絡(luò)攻擊，可能會同時控制上百萬臺傀儡機并發(fā)起攻擊，這個數(shù)量級是傳統(tǒng)單點攻擊不具備的。其次，黑客可以通過控制關(guān)鍵節(jié)點放大攻擊效果。再次，大數(shù)據(jù)的價值低密度性，讓安全分析工具很難聚焦在價值點上，黑客可以將攻擊隱藏在大數(shù)據(jù)中，給安全廠商的分析制造一些困難。正如啟明星辰周濤所言，黑客設(shè)置的任何一個會誤導(dǎo)安全廠商目標信息提取和檢索的攻擊，都會導(dǎo)致安全監(jiān)測偏離應(yīng)有的方向。

黑客利用大數(shù)據(jù)將攻擊很好地隱藏起來，使傳統(tǒng)的防護策略難以檢測出來。傳統(tǒng)的檢測是基于單個時間點進行的基于威脅特征的實時匹配檢測，而APT攻擊是一個實施過程，并不具有能夠被實時檢測出來的明顯特征，無法被實時檢測。同時，APT攻擊代碼隱藏在大量數(shù)據(jù)中，讓其很難被發(fā)現(xiàn)。此外，攻擊者還可以利用社交網(wǎng)絡(luò)和零日漏洞進行攻擊，抓住威脅特征庫無法檢測出來的時間段，發(fā)起攻擊。

盡管大數(shù)據(jù)似乎讓黑客的攻擊更加得心應(yīng)手，能夠取得更大的收益，不過，事情總有兩面性，智能分享平臺和大數(shù)據(jù)分析應(yīng)對APT攻擊的方式，在安全廠商中的聲音越來越多。在2012年Gartner安全和風險管理峰會上，Gartner公司副總裁Neil MacDonald預(yù)測，到2016年，40%的企業(yè)（以銀行、保險、醫(yī)藥和國防行業(yè)為主）將積極地對至少10TB數(shù)據(jù)進行分析，以找出潛在危險的活動。Gartner還認為，由于APT攻擊崛起，大數(shù)據(jù)分析成為很多企業(yè)信息安全部門迫切需要解決的問題。傳統(tǒng)安全防御措施很難檢測高級持續(xù)性攻擊，因為這種攻擊與之前的惡意軟件模式完全不同。

既然APT攻擊很難被檢測到，企業(yè)必須先確定正常、非惡意活動是什么樣子，才能盡早確定企業(yè)的網(wǎng)絡(luò)和數(shù)據(jù)是否受到了攻擊。Macdonald表示：“要成功做到這一點，企業(yè)需要更多的數(shù)據(jù)來建立一個基線標準，這也就是大數(shù)據(jù)的用武之地。”的確，大數(shù)據(jù)讓檢測過程變得自動化，效率更高。

“大數(shù)據(jù)對安全廠商而言，最重要的是你如何將事件的模式、攻擊的模式、時間和空間上的特征，總結(jié)抽象出來一些模型，變成大數(shù)據(jù)工具可以幫你發(fā)現(xiàn)的一些模式。”趙糧認為，首先要搞清楚攻擊是如何發(fā)起，會造成什么影響，然后根據(jù)分析結(jié)果建立安全模型。但他說這并不容易，“即使用自然語言講起來都會存在很大不確定性，而要把它變成機器語言，安全廠商面臨非常大的挑戰(zhàn)”。趙糧表示，要建立合理的模型，安全廠商需要對非常多的數(shù)據(jù)進行關(guān)聯(lián)分析，例如APT攻擊建模不只是針對一個攻擊包或者某一個威脅架構(gòu)，而是需要針對大范圍的數(shù)據(jù)，“包括一個區(qū)域或者一個行業(yè)的數(shù)據(jù)”。 不僅如此，為了精準地描述威脅特征

，建模的過程可能耗費幾個月甚至幾年時間，企業(yè)需要耗費大量人力、物力、財力成本，才能達到目的。

“在這種情況下，傳統(tǒng)的邊界防護失效，安全廠商需要建立相應(yīng)的大數(shù)據(jù)分析機制。”周濤認為，大數(shù)據(jù)分析是解決各種高端攻擊的有效方法。其中一個典型的應(yīng)用場景是，針對大數(shù)據(jù)潛伏時間長、難以被檢測的問題，安全廠商不能只進行單點檢測，而是針對一段時間內(nèi)的數(shù)據(jù)進行關(guān)聯(lián)檢測。針對零日漏洞的攻擊可能在當時無法發(fā)現(xiàn)，但是通過IPS的不斷升級，檢測能力不斷提升，進行二次檢測的時候能夠檢測出來。#p#

大數(shù)據(jù)分析帶來安全機遇

大數(shù)據(jù)技術(shù)是把雙刃劍，結(jié)果取決于技術(shù)的使用者及其目的。

“大數(shù)據(jù)分析是一個工具，不僅可以提升企業(yè)正在做的東西，同時也可以做以前無法做的東西，比如大型企業(yè)的取證問題。”趙糧表示，“取證過程需要抓取所有的數(shù)據(jù)包和模式。在大數(shù)據(jù)之前，通過手工的方式需要耗費很長時間，因此企業(yè)很難做到。甚至一年前的數(shù)據(jù)很少有人能夠找到。

但是在大數(shù)據(jù)時代，你每發(fā)現(xiàn)一個問題時候都可以向前回溯兩三年甚至更長時間的數(shù)據(jù)，從而確認以前是否已經(jīng)受到攻擊，哪些部門曾受到攻擊。”

綠盟科技規(guī)劃經(jīng)理劉淑玲在接受本報記者采訪時表示，大數(shù)據(jù)分析幫助企業(yè)加強安全能力的同時，還可以建立信譽評估機制，對海量信息做關(guān)聯(lián)分析還能準確感知國家信息安全態(tài)勢。他認為國內(nèi)一些行業(yè)也在嘗試，但尚沒有成功案例。

事實上，一些安全廠商已經(jīng)在身體力行了。周濤向記者透露，啟明星辰在大數(shù)據(jù)研究上重視宏觀網(wǎng)絡(luò)感知和微觀威脅檢測兩方面：“首先是宏觀安全狀態(tài)感知，要在廣域網(wǎng)分布式計算產(chǎn)生的大量檢測設(shè)備的基礎(chǔ)上，評估廣域網(wǎng)的安全態(tài)勢。如果有異常系統(tǒng)要報警，甚至還要預(yù)測異常的發(fā)展。”周濤說，在微觀層面，“啟明星辰更主要的是研究APT攻擊。惡意代碼的隱蔽性越來越好，攻擊途徑越來越多。黑客如何從微觀領(lǐng)域獲得大量數(shù)據(jù)來獲取攻擊信息，如何通過這種局部的攻擊數(shù)據(jù)來構(gòu)筑整個攻擊場景”。

在安全態(tài)勢感知上，啟明星辰建立起一系列安全基本指標模型，“在海量數(shù)據(jù)采集的基礎(chǔ)上，從原始數(shù)據(jù)中進行二次提取，并且建立一些指標，將其分為基礎(chǔ)指標、應(yīng)用層指標等多種類型，然后基于指標之間的關(guān)聯(lián)分析、每個指標的變化狀況，對宏觀網(wǎng)絡(luò)安全態(tài)勢做出判斷。”周濤透露，這項研究在一些城域網(wǎng)安全項目中已經(jīng)得到成功應(yīng)用。#p#

分析模型與商業(yè)智能不同

在分析平臺上，安全廠商和商業(yè)智能領(lǐng)域的數(shù)據(jù)分析一樣，也采用在Hadoop架構(gòu)，在其基礎(chǔ)上構(gòu)建分析模型。

但是在分析模型上，安全領(lǐng)域的數(shù)據(jù)挖掘跟商業(yè)智能領(lǐng)域的數(shù)據(jù)挖掘有很大差別。首先，安全廠商需要從不完整的部分數(shù)據(jù)中還原出全部的完整數(shù)據(jù)和場景。其次，數(shù)據(jù)挖掘在海量數(shù)據(jù)的基礎(chǔ)上，進行精確識別和深度檢查，進行二次分析，來識別真正的威脅。這與商業(yè)智能軟件的分析有很大差別。

“商業(yè)智能分析軟件使用的是精簡的算法、關(guān)聯(lián)分析預(yù)測等，在單點分析方面比較成功。與商業(yè)智能領(lǐng)域不同，當信息安全邁進大數(shù)據(jù)時代，數(shù)據(jù)量大幅上升，數(shù)據(jù)異構(gòu)，不同廠商對同一個文件的報警不同，如果直接對其進行分析很難產(chǎn)生效果。另外，在商業(yè)智能領(lǐng)域，越是重復(fù)出現(xiàn)的信息越有用，但是在安全領(lǐng)域，經(jīng)常出現(xiàn)的信息卻被認為是安全文件。”周濤認為，這是安全廠商的數(shù)據(jù)挖掘與傳統(tǒng)數(shù)據(jù)挖掘的最大不同。

只是技術(shù)發(fā)展一個階段

盡管大數(shù)據(jù)火熱，但在安全領(lǐng)域，并沒有專門針對大數(shù)據(jù)安全的產(chǎn)品和解決方案出現(xiàn)。“就國內(nèi)研發(fā)水平看，要推出針對大數(shù)據(jù)安全的解決方案，尚需時日。”趙糧表示，大數(shù)據(jù)分析是一件體系化的事情，有能力建設(shè)并運營這個平臺的機構(gòu)“少之又少”，因為平臺建設(shè)需要耗費更多資源和財力，大多數(shù)企業(yè)難以承受。領(lǐng)導(dǎo)廠商可能會建立部分能力，用戶可能會選擇跟安全服務(wù)提供商聯(lián)合，或者是在某種程度上的一些外包，來實現(xiàn)自己的既定目標。

此外趙糧稱，專門針對大數(shù)據(jù)的解決方案和產(chǎn)品意義不大，因為不會出現(xiàn)一個像防火墻那樣產(chǎn)品化的大數(shù)據(jù)分析產(chǎn)品，不會是用戶只需要輸入數(shù)據(jù)就能獲得分析的結(jié)果。這種情況不會出現(xiàn)。趙糧表示：“歸根結(jié)底，安全是人和人的對抗，所以永遠無法用產(chǎn)品來搞定。”

對于當前一些SIEM廠商聲稱能夠在大數(shù)據(jù)時代有效查找APT攻擊，MacDonald也表示懷疑。他認為，目前的SIEM產(chǎn)品無法處理這么大的工作量，大多數(shù)SIEM產(chǎn)品提供接近實時數(shù)據(jù)，但只能處理規(guī)范化數(shù)據(jù)，還有些SIEM產(chǎn)品能夠處理大量原始交易數(shù)據(jù)，但無法提供實時情報信息。

一個技術(shù)能夠生存的前提是能夠帶來實實在在的價值，如果對它的投入產(chǎn)出達不到預(yù)期，企業(yè)對這項技術(shù)的關(guān)注度就會下降，人們就會從開始接受、正視現(xiàn)實，變成有點失望，最終徹底失望。“到現(xiàn)在為止，雖然人們給予大數(shù)據(jù)很多期望，但是沒有一個產(chǎn)品、顧問或者使用者能夠證實我用這個技術(shù)到底找出了哪些APT攻擊，解決了什么樣的業(yè)務(wù)問題。”趙糧稱，“所以，大數(shù)據(jù)分析對解決安全問題能夠起到多大的效果，誰也說不準。隨著技術(shù)向前發(fā)展，大數(shù)據(jù)分析也只能在一兩年之內(nèi)起到安全防護作用。”