Гигантският онлайн магазин eBay е хакнат през февруари тази година чрез открадната информация за регистрация в системата на служител на компанията. Така хакерът получава достъп до 145 милиона записа на потребители, включващи домашните им адреси, имейлите, дати на раждане и криптирани пароли. Вероятно хакерът е направил копие, тъй като от eBay препоръчаха на потребителите да сменят паролите.
Пробивът на eBay е само един от знаковите кибератаки през последните години. А трябва да се има предвид, че онлайн ритейлърът обръща голямо внимание на сигурността. Така че изводът е ясен – щом компания като eBay може да бъде пробита, то какво остава за другите.
Този и другите случаи на кражба на данни карат компаниите да се вгледат още по-внимателно в защитата си от киберпрестъпления. Много от топ световните бизнеси обръщат още по-сериозно внимание на превенцията от инциденти и на намаляване на т.нар. повърхност за атака. Но освен в тези традиционни начини за защита, фирмите инвестират усилено в инструменти за анализ на сигурността.
В неотдавнашно проучване на ESG професионалистите по корпоративна сигурност са били помолени да посочат дейностите си по анализ на сигурността, които прилагат. Данните от проучването показват следната картина.
· 41% събират допълнително данни от мрежата за анализ. Това означава, че прихващат пакети и обработват метаданните, свързани с мрежовия трафик.
· 40% са закупили и/или реализирали нов инструмент за анализ на сигурността. Най-вероятно именно тези инструменти им помагат в анализа на мрежовите данни. От своя страна доставчиците усилено подобряват и развиват такива инструменти, за да се възползват от инвестиционните нагласи.
· 30% наемат аналитици по сигурността. За съжаление наемането на такъв специалист не е никак лесна работа и компаниите ще трябва да имат предвид това при плановете си.
· 28% събират данни от крайните точки за евентуални съдебни разследвания, които да подпомогнат анализа на сигурността. Така се съпоставя информацията от анализа на мрежата с данни от крайните точки като промени в настройките за регистрация, свалени файлове, посещаване на непознат IP адрес и др. Това поражда сливания и поглъщания при доставчиците на информационна сигурност, за да могат да предложат цялостни решения за анализ.
· 28% реализират повече изследвания или събирания на данни в мрежата си. Това означава, че събирането на данни вече не се ограничава по периметъра, а включва много повече точки и във вътрешната мрежа. За специалистите по сигурността това означава наблюдение върху повече събрани, обработени и съхранени данни.
Както се вижда от проучването, сигурността се нуждае от анализ на все повече данни, което изисква да се обмисли и реализира цялостна архитектура. Специалистите обаче предлагат друг подход. В последните години устремно се развиха технологиите за анализ на данни, известни под името Big Data.
Терминът Big Data се отнася до технологии за управление и анализ на голямо количество информация, които надхвърлят възможностите на технологиите за традиционна обработка на данни, според определението на Гартнър. BigData се отличава от традиционните технологии по три начина: количеството данни (обем), скоростта на създаване и предаване (скорост) на данни и видовете структурираните и неструктурираните данни (разнообразие).
Днес ние създаваме 2,5 квинтилиона байта данни на ден. Темпът насъздаване на данни се е увеличил толкова много, че 90% от данните в днешния свят е бил създаден през последните две години. Това ускорение в производството на информация е създало нужда от нови технологии, които да анализират огромни масиви от данни.
Анализътна големи данни може да произведе оперативни и бизнес познания в безпрецедентен мащаб и специфика. Необходимостта от анализ и използването на данни за тенденциите, събирани от предприятията, е една от основните движещи сили за създаването на инструменти за анализ на големи данни. Технологичните постижения в съхранението, обработката и анализа на BigData са създали няколко разлики между традиционните анализи и анализа на големи данни.
Технологиите за големи данни могат дабъдат разделени на двегрупи: обработка на аналитични данни в покой и на аналитични данни в движение. Обработката в реално време невинаги е необходимо да пребивава в паметта, а новите интерактивни анализи на големи масиви от данни чрез нови технологии като Drill и Dremel предоставят нови парадигми за анализ на данни.
Hadoop е една от най-популярните технологии за обработка на данни в покой. Рамката на Hadoop предоставя на разработчиците Hadoop Distributed File System за съхранение на големи файлове и програмен модел MapReduce, който е пригоден за често срещащи се проблеми при обработката на данни.
Обработката на данни в движениене разполага седна доминиращатехнология като Hadoop, но е все по-голяма област за научни изследвания и развойна дейност. Един от моделите за обработка на поточни данни е ComplexEventProcessing. Други реализации на поточни технологии включват InfoSphereStreams5, Jubatus6 и Storm7.2.1
Ясно е, че Big Data променя пейзажа на анализа. По-специално, инструментите за анализ за големи данни могат да бъдат възприети, за да се подобри сигурността на информацията и осведомеността за ситуацииите. Например, тези инструменти могат да бъдат използвани, за да се анализират финансови транзакции, лог файлове, както и мрежовия трафик, за да се идентифицират аномалии и съмнителни дейности, както и да корелират множество източници на информация в ясен изглед.
Информационната сигурност, базирана на данни, има своето начало в системите за откриване на банкови измами и тези, за откриване на проникване на база аномалии. Откриването на измами е един от най-видимите начини за използване на Big Data инструментите за анализ. Компаниите за кредитни карти разкриват измами от десетилетия, но такава специализирана според нуждите на клиента инфраструктура не е икономически изгодно да се адаптира за търсене в Big Data за откриване на други измами. Днешните готови инструменти и техники за големи данни вече насочват вниманието си към анализи за откриване на измами в областта на здравеопазването, застраховането и други области.
Big Data инструментите за анализ имат потенциала да дадат значително предимство за интелигентна сигурност чрез намаляване на времето за корелиране, консолидиране и изследване на разнообразна информация за събития в сигурността, както и за откриване на връзки между данни от дълги минали периоди за целите на съдебни разследвания.
Анализирането на логове, мрежови пакети, както и събития за съдебни разследвания и за откриване на проникване винаги е представлявало сериозен проблем. Така традиционните технологиине успяха да осигурят средства, за да поддържат дългосрочни, мащабни анализи.
Новите Big Data технологии, като бази данни, свързани с Hadoop екосистемата и поточната обработка, дават възможност за съхранение и анализ на големи хетерогенни масиви от данни в безпрецедентни мащаби бързина. Тези технологии ще трансформират анализа на сигурността като събират данни в голям мащаб от много вътрешни и външни източници на предприятието, извършват по-дълбоки анализи на данните, предоставят консолидиран вид на информацията, свързана със сигурността, и постигат анализ в реално време на поточни данни. Важно еда се отбележи, че Big Data инструментите все още се нуждаят от системни архитекти и анализатори, които да имат дълбоко познаване на тяхната система, за да конфигурират правилно инструментите за анализ на Big Data.
Big Data инструментит за анализ могат да се използва за различни цели на сигурността, като:
– Мрежова сигурност
– Анализ на корпоративни събития
– Мониторинг на Netflow за идентифициране на ботнети
– Откриване на Advanced Persistent Threats.
Целта на Big Data инструментите за анализ на сигурността е да се постигне действащо разузнаване в реално време. Въпреки че BigData инструментите за анализ са многообещаващи, има редица предизвикателства, които трябва да бъдат преодолени, за да се реализира истинският им потенциал. Например едно от тях е произходът на данните – каква е достоверността и интегритета на използваните данни за анализа. Тъй като технологиите Big Data разширяват непрестанно източниците на данни, които могат да използват, достоверността на всеки такъв източник трябва да бъде удостоверена и трябва да се изследва включването на идеи като състезателно машинно обучение с цел да се идентифицират злонамерено вкарани данни. Друго предизвикателство е защитата на личните данни, за да се минимизира количеството изходи, които потребителите на Big Data, могат да правят. Трябва да не се забравя, че когато се фокусираме върху използването на Big Data инструментите за анализ за сигурността, не трябва да пропускаме сигурността на самата Big Data. Важен фактор е и осигуряването на специалист, който да интерпретира резултатите. Разбира се, трябва да се използва и инструмент за визуализация, която да го подпомогне в разбирането на данните.