随着大数据的兴起,人们纷纷企望能够在信息安全领域发挥作用,解决日趋严重的安全形势,安全分析也就渐渐成为热点之一。通常安全分析主要利用数据分析工具,对多种系统、设备的日志或数据,进行关联分析,寻找异常情况,并作出告警,此外经过大量的数据,可以从宏观掌握整个信息安全态势。
对于信息安全分析,首先要明确的确定工作方向和范围,对于信息安全而言,最重要的就是对风险的认知,安全分析同样是应对风险的挑战。
风险的四个象限
常规从是否知道风险,将风险划分为已知风险和未知风险。经过多年的安全从业经验,认为可以从技术和人两个因素分析,选定技术感知、认知能力维度将风险划分为4种类型。分别为:
- 已知风险
- 未意识的风险
- 未感知的风险
- 未知的未知风险
风险四象限
安全分析的价值
根据上面四个象限来分析,已知风险需要的是立即处理,是执行的问题不是分析的范畴,对于这方面的投入,很难体现出价值,这块工作应尽量采用自动化工具实现,减少人工成本。对于最有价值的“未知的未知风险”,面临认知和技术的双重挑战,必须建立在已经有效控制“未感知的风险”和“未意识的风险”基础之上。
安全分析的重点在于“未意识的风险”及“未感知的风险”,这两个象限也是最能体现安全分析价值之处,通过分析解决技术难以发现的隐患,利用技术手段展示安全风险,提高安全意识,达到更好的管理效果。
未意识的风险
对于安全最重要的是安全意识,如果无法意识到风险,技术技术上已经感知到,也会被忽略。但现实情况往往是,技术设备发现大量的报警,往往会淹没真正有价值的安全告警,导致难以发现真正的风险点,即使有心也无力。
基于此,安全分析的价值在于通过技术手段,将发现的微小安全点,进行风险点的评判,确保重要的信息不会被淹没,或通过可视化手段,充分展示安全风险,直观展示需要关注的风险。当存在的需要关注风险点被充分暴露后,会引起重视并有效处置。对于此类风险,安全分析的价值在于:
发现有价值的信息、利用可视化工具充分暴露安全风险
通常处理办法有:
- 优化告警,提高告警的整体质量
- 将日常正常需要关注的告警数降低在100以内
- 告警聚合、告警抑制,减少告警
- 自动化通知,采用报告方式告知用户风险
- 安全可视化,一目了然查看风险
- 定期安全风险报告
- ...
未感知的风险
对于关注的风险,单一安全设备或技术难以发现,针对这类风险,要么采购安全设备,发现现有安全设备无法感知的风险,要么利用现有的数据,通过关联分析、新的安全检测模型,发现更多的安全隐患。如果采用后者,对人员的技能要求更高。需要:
充分发挥创造力,分析安全隐患
可以通过技术分析的情况如下:
- 分析DNS请求情况
- 分析隐蔽通道
- 收集外部情报信息
- 对多种设备日志进行关联分析,分析攻击路径
- 部署蜜罐、沙箱,收集更多信息
- 去除正常流量,对非正常流量分析
- 利用外部众包方式安全测试
- ...
安全分析核心在于人,提高安全风险意识,充分认知技术变更,发挥人员创新的力量,有效管理安全风险,从而挑战“未知的未知风险”。
本文遵守知识共享协议:署名-非商业性使用-相同方式共享 (BY-NC-SA 4.0) 协议
网友评论