深度|大数据时代 银行信息安全如何防护?
弄清楚这个问题,就要从这些传统的检测机制上寻找原因。可以说,传统的防御机制都是在牺牲了无数“小白鼠”之后,对这些已知的攻击特征做的针对性防护机制,但相信哪个黑客也不会傻到用路人皆知的攻击手段,冒着被全球追捕的危险去打银行的主意。
但往往事实总是与愿违,受限于技术约束,传统的安全分析大都仅针对样本数据进行分析,并将分析结果推论到剩余的数据集合上。而随着高级威胁和欺诈行为的不断进化,越来越需要对全量数据,甚至是相关的情境数据进行分析。并且当银行每天的数据量高达TB级时,SIEM/SOC的瓶颈出现了,庞大的数据量和多样性迅速成为“骆驼背上的稻草”,并且会产生很多误报。
大数据开始一度成为热词,这也让银行业尝到了甜头。利用大数据分析不仅可以挖掘客户的消费习惯做精准营销,还可以在安全防护能力上更上一层楼。借助大数据安全分析技术,能够更好地解决天量安全要素信息的采集、存储的问题。
不过这似乎与传统数据分析除了在数据处理能力上,其他差异并不是那么直观。毕竟信息安全十多年来一直在利用网络流量、系统日志和其它信息源的分析甄别威胁,检测恶意活动,而这些传统方式跟大数据有何不同还是不太清晰,如果大数据安全分析仅是这样,那么想在安全领域力挽狂澜显然是不够的。
注意,是所有的安全要素,而并非仅仅是安全设备,无论是终端的、主机的、应用的、网络设备的、安全设备的,还是第三方云上的,通过收集这些全量数据进行统一的存储、分析和展现,从而发现里面的异常行为,并进一步找到未知的安全威胁。这种思路常见于美国FireEye、 PhantomCyber等公司的解决方案,当然也包括中国的HanSight。
做大数据分析,数据质量也非常关键,如果提供分析的数据本身就有问题或者错误,那么分析结果必然有问题。具体来说,如果IT人员仅针对海量日志进行分析,可能由于攻击者将关键日志抹除,或者故意掺入假日志,反而会让基于日志的大数据安全分析误导。这时,IT人员很强调对原始网络流量的分析,将这些流量转换为元数据,然后进行大数据分析,配合日志分析,效果更佳。
能够更加智能地洞悉信息也是大数据安全分析的优势之一。以银行业为例,黑客通过一些手段伪装成真实合法的用户进行资金划转,但上一笔记录是北京,而五分钟之后的记录发生在广州,这对于银行系统来说,只要是合法用户的操作,就不会干预。但显然在五分钟的时间里除了超人,没人能做到从北京直接到广州。通过用户异常行为的安全分析引擎,便会将这种违约交易进行阻挡,防患于未然。
对于黑客攻击网银系统经常使用的“低频暴力破解”手法,大数据安全分析也带来了奇效。所谓低频暴力破解就是利用手机银行在后台服务端可以多次密码试错的情况下,不停的撞库进行破解。而利用大数据安全分析便对这些仿制的原始IP查封,加入到黑名单。
不仅如此,大数据安全分析的发展还将改变传统的网络安全防护架构、安全分析体系,并深刻变革现有的网络安全业务模式。包括 SIEM、日志分析、欺诈检测、威胁情报在内的多种服务都在积极拥抱大数据安全分析技术。大数据安全分析已成为安全业务模式变革的催化剂。而也正是如 HanSight这样的团队努力下,让大数据安全分析开始崭露头角,使银行安全防护的道路逐渐明朗了起来。
内容来源:比特网