人与数据的结合
作者:admin 发表时间:2020-12-20 浏览:24 海淘动态
今天在2017年ISC中国互联网安全大会现场,偶遇一个在国企做CSO的老朋友,一起参观了各个安全企业的展台。走到360展区,在产品的介绍屏幕之前浏览了一番之后,这位从业20多年、担任CSO若干年的资深人士在数据驱动安全2.0的展示屏之前停了下来,观看了展示屏的内容后,大家一起讨论了以下问题:1.单纯的防御策略已经无法应对日益复杂的安全局面,如何快速发现未知的入侵行为?传统的安全检测手段是基于特征码技术或者黑白名单技术,在这个基础上,我们需要更多的手段进行威胁的发现:异常行为是我们常用的一个词语,这种行为往往是灰色的,很难精确匹配到一个具体的攻击或者威胁行为,这种行为的发现更多时候是通过数据分析的方法给管理员提供告警。例如:一台计算机,在一个不正常的时间访问了一台不应该由他访问的重要服务器,这种行为在数据分析的手段下就会暴露出来。2.非常同意数据分析发现异常的思路,发现异常之后,作为企业的安全团队,我们该怎么办?发现之后,我们应该有三个动作:处置、分析溯源、总结报告。处置:就是彻底检查异常的本机根源,尽快降低风险面;分析溯源:需要本地的样本分析和云端数据相结合,彻底查清本次异常的根源;谁使用了这台机器?里面是否存在恶意代码?这台机器历史上有没有异常行为?这些异常行为、恶意代码背后有没有组织行为?损失发生了吗?总结报告:在完成溯源分析的工作后,还要完成一个报告,在总结本次事件的基础上,提出整改建议,应对未来的未知风险。而这些工作不可能仅仅依靠产品自动完成,这可能是周鸿祎在大会上提出,万物皆变、人是安全的尺度的原因吧。在离开展台的时候,这位资深人士自己做个一个总结:基于海量数据的分析能力是提高安全运营能力的技术基础;一个优秀的安全运营团队是使用这些技术能力的必要条件;在自身缺乏足够的安全运营能力时,与业界优秀的安全运营与服务团队合作是一个可行的思路。
分享到
部分图片内容来自于网友投稿
0/300
微博发布