您当前的位置:首页 > 新闻资讯 > 产品动态 > 正文

【新东网大数据】构建基于大数据与威胁情报的企业安全保障体系

发布时间: 2017-03-15 11:37:52  
分享到:

 

文/邵元明 信息安全部

 

随着互联网安全形势越来越严峻,企业面临的安全风险也越来越高,传统的安全技术手段在面对复杂多变的安全攻击时逐渐乏力,企业纷纷找寻新的出路,大数据技术的成熟与威胁情报概念的发展为新一代企业安全保障体系开启了新的大门,数据驱动安全成为了行业流行的课题。

 

新东网科技作为互联网与物联网的运营商,运营维护着全国十余个省级运营商的电子渠道相关系统、多个智慧城市平台并拥有着自己的互联网金融应用,对于攻击者而言是非常有价值的攻击目标,每天都面临着来自互联网的大量攻击。基于多年与网络攻击做斗争的经验及新东网自身在大数据技术上的积累,新东网也摸索出了一套基于大数据与威胁情报的企业安全保障体系。

 

大数据的概念相信大家已经耳熟能详,那么什么是威胁情报,威胁情报与大数据在保障企业安全上又有怎样的关系呢?

 

威胁情报作为一个正在发展的概念,目前尚未有统一的定义,但是在一些关键点上已经有了广泛的共识,SANS 研究院对威胁情报的定义是:针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标、所收集的用于评估的应用的数据集,举一个最简单的例子,我们通常关注的安全漏洞信息就是非常典型的威胁情报。过去我们往往将关注集中在漏洞信息上,但威胁情报的内容远不止于此,新的攻击手段、互联网上发生的安全事件、甚至于恶意攻击者本身的信息。比如某个黑客团体即将对企业展开攻击,目的是盗取信息还是破坏系统,动机是非法获利还是报复泄愤,常用的攻击手法是什么,对企业而言都是需要关注的情报。

 

了解了威胁情报的基本概念,我们再来看安全大数据与威胁情报的关系。安全大数据通常包括企业的IT资产信息、系统运行状态信息、系统及设备日志、应用日志等,这些数据复杂而庞大,如果缺乏有效的分析思路和方法则难以产生对企业安全保障提供有效帮助的信息,而威胁情报概念的发展为解决这个问题提供了方向:一方面我们可以从安全大数据中提取威胁情报,进而采取针对性的应对措施来提升企业的安全性。另一方面当我们获取了威胁情报后,也需要有强大的安全大数据平台来支撑,才能有效地应对。

 

 

下面,我们来看一下具体的应用场景:

 

日志大数据与安全保障:新东网构建了日志大数据平台,将各业务系统相关的操作系统、数据库、WEB应用、网络设备、安全设备等日志进行统一收集,并基于威胁情报进行分析,根据结果进行事件响应和策略优化例如,我们将SQL注入攻击的攻击特征作为基础威胁情报输入大数据平台,对日志进行分析检索,获得近期对应用发起SQL注入攻击的语句类型(从大数据平台提取出威胁情报),并根据获得的特征优化我们应用的过滤规则。又如,我们将暴力破解攻击的行为特征(大量登录失败后突然登录成功)作为威胁情报输入大数据平台,当平台发现日志中存在连续大量登录失败日志后突然有一条登录成功日志,则认为攻击者可能成功实施了暴力破解攻击,我们应该立即响应(传统的系统日志只能知道攻击者在进行攻击,并不能判断攻击是否成功,在海量数据的情况下无法作为启动响应的决策依据)。

 

 

 

资产大数据与安全保障新东网构建了资产大数据平台,对公司所有IT资产的指纹进行详细的记录,包括操作系统类型及版本、数据库类型版本、中间件类型类型版本、域名、IP地址、端口号、业务类型、应用程序版本、编程语言、框架等信息(我们称之为资产的指纹信息),这些信息通过大数据平台维护并自动化的收集和更新,每当获取新的漏洞信息时我们可以通过大数据平台快速检索可能受到影响的资产,快速启动漏洞修复工作并追踪修复结果,最大程度降低安全漏洞爆发带来的业务风险。这套系统在我们应对JAVA反序列化漏洞、struts2、ImageTragick、Dirty Cow等近两年爆发的重大安全漏洞的过程中起到了重要的作用。

 

业务大数据与安全保障:对于互联网企业和应用而言,业务层面的攻击是当前面临的重要问题,例如智慧福州APP在上线和多次活动期间都遭到了大量恶意攻击者通过恶意注册账号进行刷单等方式进行攻击,对此新东网迅速建立了业务安全大数据系统,建立账号信誉机制,对于有恶意行为的账号进行信誉惩罚和严格的风险策略,达到一定分数后加入黑名单,同时也积极与大型的安全企业和互联网企业对接互换威胁情报(如恶意账号黑名单),较好的遏制了“羊毛党”恶意刷单等业务攻击行为。此外,新东网还将改技术进行拓展并应用于防诈骗领域,目前与福州电信等运营商客户共同研究诈骗电话拦截的解决方案。

 

基于这些大数据与威胁情报的技术与应用,新东网构建了良好的企业安全保障体系,在很好地保障企业自身安全的同时也为客户提供了技术支撑。不仅如此,为了更好的获取威胁情报和保障企业安全,新东网还建立了信息安全技术社区漏斗社区,聚集了业内大量安全企业、互联网企业、政企单位一线的安全技术人员,并通过论坛、社交软件、定期组织安全沙龙等方式促进大家沟通交流,方便大家互换威胁情报、交流安全技术,互相协同为创造更加安全的互联网环境尽一份力量。

 

 

 

分享到:
地址:福建省福州市铜盘路软件大道89号软件园A区26号楼 电话:0591-83519233 传真:0591-87882335 E-mail:doone@doone.com.cn
版权所有 新东网科技有限公司 闽ICP备07052074号-1 闽公网安备 35010202001006号