攻擊大數(shù)據(jù)

孫杰賢

電影《天下無(wú)賊》中曾有這樣一句經(jīng)典的臺(tái)詞——“二十一世紀(jì)什么最貴？人才！”，然而時(shí)代變了。

進(jìn)入信息社會(huì)，面對(duì)大數(shù)據(jù)的洶涌來(lái)襲，數(shù)據(jù)正在逐步取代人才而成為企業(yè)的核心競(jìng)爭(zhēng)力。對(duì)于企業(yè)來(lái)說(shuō)，大數(shù)據(jù)的價(jià)值有很多，具體比如支撐戰(zhàn)略決策，提高客服水平，精準(zhǔn)市場(chǎng)營(yíng)銷，強(qiáng)化財(cái)務(wù)管理，創(chuàng)新產(chǎn)品開(kāi)發(fā)等等?？梢哉f(shuō)，大數(shù)據(jù)的價(jià)值體現(xiàn)在企業(yè)運(yùn)營(yíng)的各個(gè)環(huán)節(jié)，這是未來(lái)智慧企業(yè)的基礎(chǔ)。

先看一個(gè)頂級(jí)電信運(yùn)營(yíng)商T-Mobile的例子。該公司在多個(gè)IT系統(tǒng)中整合了大數(shù)據(jù)應(yīng)用，對(duì)客戶交易和互動(dòng)數(shù)據(jù)進(jìn)行綜合分析，更準(zhǔn)確地預(yù)測(cè)客戶流失率。通過(guò)將社交媒體數(shù)據(jù)、CRM和計(jì)費(fèi)系統(tǒng)中的交易數(shù)據(jù)進(jìn)行綜合分析，T-mobile在一個(gè)季度內(nèi)將客戶流失率降低了一半。“這是一個(gè)意想不到的禮物。” T-mobile的一位發(fā)言人如此表示。而美國(guó)快運(yùn)是美國(guó)第二大物流公司，該公司也部署了一系列的運(yùn)輸大數(shù)據(jù)應(yīng)用，采集上千種數(shù)據(jù)類型，從油耗、胎壓、卡車引擎運(yùn)行狀況到GPS信息等，甚至從司機(jī)們抱怨該系統(tǒng)的博客中收集數(shù)據(jù)，并通過(guò)分析這些數(shù)據(jù)來(lái)優(yōu)化車隊(duì)管理、提高生產(chǎn)力、降低油耗，每年節(jié)省了數(shù)百萬(wàn)美元的運(yùn)營(yíng)成本。

這就是大數(shù)據(jù)的力量，誠(chéng)如《大數(shù)據(jù)時(shí)代的歷史機(jī)遇》一書(shū)中提到的，大數(shù)據(jù)是擁有價(jià)值的資產(chǎn)，可變現(xiàn)，誰(shuí)擁有大數(shù)據(jù)資產(chǎn)，誰(shuí)將在行業(yè)變革中占得先機(jī)。

大風(fēng)險(xiǎn)

但是，大數(shù)據(jù)背后也蘊(yùn)藏著很大的風(fēng)險(xiǎn)。根據(jù)瑞星“2013年上半年中國(guó)信息安全綜合報(bào)告”，我國(guó)企業(yè)的信息安全體系形同虛設(shè)，而且雖然虛擬化、云計(jì)算、移動(dòng)計(jì)算、社交網(wǎng)絡(luò)以及BYOD等新技術(shù)和新應(yīng)用的出現(xiàn)，企業(yè)的信息安全正遭受前所未有的挑戰(zhàn)。而大數(shù)據(jù)與這些新技術(shù)、新應(yīng)用有著千絲萬(wàn)縷的聯(lián)系。

技術(shù)專家告訴我們，無(wú)論是從企業(yè)存儲(chǔ)策略與環(huán)境來(lái)看，還是從數(shù)據(jù)與存儲(chǔ)操作的角度來(lái)看，大數(shù)據(jù)有可能會(huì)帶來(lái)巨大的“管理風(fēng)險(xiǎn)”，成為黑客們發(fā)動(dòng)攻擊的新載體，如果不能妥善解決會(huì)造成“大數(shù)據(jù)就是大風(fēng)險(xiǎn)”的可怕后果。

與大數(shù)據(jù)相關(guān)的安全問(wèn)題主要有如下幾方面：最直接的一個(gè)問(wèn)題是隨著產(chǎn)生、存儲(chǔ)、分析的數(shù)據(jù)量越來(lái)越大，隱私和合規(guī)等問(wèn)題在未來(lái)幾年將變得非常突出；其次，隨著云計(jì)算的普及，云端大數(shù)據(jù)對(duì)于黑客們來(lái)說(shuō)是個(gè)極具吸引力的目標(biāo)；此外，以社交網(wǎng)絡(luò)為代表的在線商務(wù)活動(dòng)的增多使得在線數(shù)據(jù)越來(lái)越多，黑客們的犯罪動(dòng)機(jī)也比以往任何時(shí)候都來(lái)得強(qiáng)烈；與此同時(shí)，在IT消費(fèi)化的大趨勢(shì)下，BYOD將大行其道，而移動(dòng)設(shè)備和數(shù)據(jù)向來(lái)是黑客們?nèi)肭制髽I(yè)內(nèi)網(wǎng)的首選途徑；最后一點(diǎn)，信息社會(huì)的網(wǎng)絡(luò)化和開(kāi)放性使得分布在不同地區(qū)的企業(yè)資源甚至是產(chǎn)業(yè)鏈合作伙伴的資源可以快速整合，動(dòng)態(tài)配置，實(shí)現(xiàn)數(shù)據(jù)集合的共建共享，這樣便會(huì)存在安全上的短板效應(yīng)，從而更容易吸引黑客的攻擊，也更容易被攻破。

正如Gartner所說(shuō)，“大數(shù)據(jù)安全是一場(chǎng)必要的斗爭(zhēng)”，大數(shù)據(jù)可能在不知不覺(jué)中已把企業(yè)給出賣。那么，企業(yè)該如何應(yīng)對(duì)？首要的一點(diǎn)是企業(yè)必須要提高安全意識(shí)，明確安全責(zé)任，因?yàn)槲覀冎?，管理短視一直是企業(yè)信息安全最大的隱憂，提高企業(yè)管理層以及IT部門對(duì)信息安全的認(rèn)識(shí)，是確保企業(yè)信息安全的根本。在此基礎(chǔ)之上，企業(yè)應(yīng)該對(duì)當(dāng)前的IT環(huán)境做全面細(xì)致的評(píng)估，發(fā)現(xiàn)隱患和薄弱環(huán)節(jié)，完善或者修改企業(yè)整體的安全策略和體系架構(gòu)。接下來(lái)便是根據(jù)企業(yè)自身實(shí)際來(lái)規(guī)劃具體的防范措施并強(qiáng)力執(zhí)行了。

以上列舉的應(yīng)對(duì)舉措看似簡(jiǎn)單，實(shí)則不易，瑞星公司的安全報(bào)告已經(jīng)很好的證明了這一點(diǎn)。大家都知道該怎么做，但由于各種因素的限制，結(jié)果總是差強(qiáng)人意。

言歸正傳，大數(shù)據(jù)有可能帶來(lái)大風(fēng)險(xiǎn)，但是比較有意思的事情是，利用“大數(shù)據(jù)”卻能有效提高企業(yè)的安全防范水平，用奇虎360副總裁譚曉生的話說(shuō)就是大數(shù)據(jù)也能成就大安全。

大安全

在說(shuō)奇虎360的案例之前，我們先接觸一個(gè)名詞——APT攻擊。APT中文名稱是“高級(jí)持續(xù)性威脅”，是黑客以竊取核心資料為目的，針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。

“這種行為往往經(jīng)過(guò)長(zhǎng)期的經(jīng)營(yíng)與策劃，并具備高度的隱蔽性，奇虎360便倍受這種攻擊的困擾。為此，奇虎360根據(jù)APT攻擊特點(diǎn)并結(jié)合自己的經(jīng)驗(yàn)制定了一套‘云+端+邊界的防御思路?！?譚曉生說(shuō)。具體是利用360云計(jì)算技術(shù)的優(yōu)勢(shì)研發(fā)了一套基于大數(shù)據(jù)的全流量偵聽(tīng)，未知威脅捕捉設(shè)備，結(jié)合終端管理系統(tǒng)和軟硬件設(shè)備準(zhǔn)入策略，可有效預(yù)防APT，并且可以在終端一旦被人搞定后迅速捕捉未知威脅。

APT攻擊往往潛藏?cái)?shù)年，要想對(duì)其進(jìn)行分析，就要調(diào)出企業(yè)一兩年內(nèi)的安全日志，并且進(jìn)行對(duì)比分析，企業(yè)安全管理系統(tǒng)的功能再?gòu)?qiáng)大也難以完成這個(gè)任務(wù)，因?yàn)槿魏我粋€(gè)安全解決方案都很難實(shí)現(xiàn)每隔一段時(shí)間就對(duì)上百億條信息做一次關(guān)聯(lián)分析，而借助大數(shù)據(jù)便可以有效解決這一點(diǎn)。而奇虎360的實(shí)踐也成功證明，基于大數(shù)據(jù)技術(shù)來(lái)防范APT攻擊是十分有效的。

防APT攻擊只是大數(shù)據(jù)技術(shù)在信息安全領(lǐng)域的價(jià)值體現(xiàn)之一，EMC公司甚至認(rèn)為，大數(shù)據(jù)技術(shù)的目標(biāo)之一便是使安全專家更方便地使用高級(jí)分析技術(shù)，例如預(yù)測(cè)性分析和高級(jí)統(tǒng)計(jì)技術(shù)。

企業(yè)要想充分利用“大數(shù)據(jù)”來(lái)實(shí)現(xiàn)有效的安全管理，企業(yè)IT基礎(chǔ)架構(gòu)必須能夠在企業(yè)層面上收集和管理安全數(shù)據(jù)，并進(jìn)行擴(kuò)展以滿足當(dāng)今的企業(yè)級(jí)需求（包括物理要求和經(jīng)濟(jì)要求）。這意味著進(jìn)行“橫向擴(kuò)展”而非“縱向擴(kuò)展”，因?yàn)閷⑺羞@些數(shù)據(jù)集中化在實(shí)際情況中是不可能的。此外，該基礎(chǔ)架構(gòu)還需要能夠輕松擴(kuò)展以適應(yīng)新的環(huán)境，并時(shí)刻準(zhǔn)備好發(fā)展和完善以支持對(duì)不斷演變的威脅進(jìn)行分析。當(dāng)然，還需要輔以專業(yè)的安全分析工具和威脅智能技術(shù)。

盡管大多數(shù)組織對(duì)信息安全進(jìn)行了大量投資，攻擊者看起來(lái)仍略勝一籌。根據(jù)美國(guó)電信運(yùn)營(yíng)商Verizon 的數(shù)據(jù)違規(guī)調(diào)查報(bào)告，91% 的違規(guī)都會(huì)導(dǎo)致數(shù)據(jù)在幾天甚至更短的時(shí)間內(nèi)受損，而 79%的違規(guī)需要幾個(gè)星期甚至更長(zhǎng)時(shí)間才會(huì)被發(fā)現(xiàn)。而大數(shù)據(jù)給信息安全防護(hù)帶來(lái)的最大改變恰恰就是通過(guò)自動(dòng)化分析處理與深度挖掘相結(jié)合，可以將之前很多時(shí)候亡羊補(bǔ)牢式的事中、事后處理，轉(zhuǎn)向事前自動(dòng)評(píng)估預(yù)測(cè)、應(yīng)急處理，讓安全防護(hù)由之前的被動(dòng)變?yōu)橹鲃?dòng)，這是一個(gè)里程碑式的改變，將對(duì)企業(yè)信息安全形成深遠(yuǎn)的影響。