安全情报与情境感知，大数据分析平台的最后一公里建设.pdfVIP

“安全情报与情境感知” 谈大数据分析平台的最后一公里建设 About Me 李宗洋微信号 zhuyue@sec-un.org 大数据安全平台最后一公里 关注点 • DT时代的数据价值如何体现 – 关注：从“平台”到“内容” – 数据分析很关键 • 着眼用户需求： – 刚需？显性、隐性？ – 用户、客户？ – 紧迫度、频度？点、面 – “痛点？痒点？兴奋点？” • 分工更细致 大数据平台安全之 “外防+ 内控” 外防：情报共享驱动 防御体系 在基本信息安全体系不完整，不具备分析能力的情形下，安全威胁情报作用十分有 限。 安全情报以“空间”换“时间”，用集体协作来应对“P”，通过情报驱动防御体系的转变 外防之：安全情报再分析 CSV、XML和类似标准格式 外防：安全情报共享体系实施 步骤 • 大 ：专家的介入 • 中：依托外部信息 （公有云） • 小：自成共享体系(私有云） 内控：异常行为检测 1、“如果说”基于特征匹配的检测防范 了已知威胁“、基于”虚拟执行的检测 阻止了未知恶意代码进入系统内部”， 那么对于已经渗透进入系统内部的恶 意代码而言，“异常行为检测成为了识 别该类威胁的唯一机会”，而机器学习 成为了该类问题的首选解决方案。” 流量和行为终究无法隐藏 2、 内控：异常行为分析 模型和方法 内控：用户关注点：“安全情境” 用户眼中的安全:“业务安全” –数据泄露 –业务违规 –业务可用性 –…… –取证、溯源：讲究司法上的证据链完整性 –完整的防护包括防御、检测、回溯分析和预测能力 内控：“安全情境”梳理方法 内控：行为基线建模 • 针对人为核心的行为基线建模 内控：行为基线建模 • 针对敏感数据为核心的行为基线建模 –分布：敏感数据的分布？ –访问：基于个体或部门的访问频次 –流转：敏感数据的流转范围、时间、有权限的使 用者、敏感数据类型、大小等 –高危操作：RAR打包、内部服务器的下载操作。 内控：异常行为检测的难点 • 行为基线难以确认 • 海量数据 • 信息采集不完整 • 业务特性的降维 内控：行为的量化-聚合 内控：异常行为分析产品形态 内控：异常行为分析产品形态 内控：异常行为分析实践 • 序列、统计、关联做好的话效果很好。（充分了解 用户的业务场景) • 人工不易确定行为基线、数据量大，预测式的检 测需要机器学习。机器学习解决海量的问题。 • 取证、溯源（多点追踪）： – 从网络访问、系统登陆、应用访问、数据操作的关联； – 统一的用户身份认证（IAM）、统一的时间NTP 结束语：安全产品（交付）方向