大数据将有效应用于安全、身份和欺诈管理

21世纪以来，互联网、移动互联网、云计算、物联网导致计算环境发生重大变化，企业和组织投入大量资源改善IT安全基础设施，安全边界变得模糊和脆弱。但是各类安全事件层出不穷，国内外多起严重数据泄漏事件不断挑战安全意识底限。“恐惧源于无知”应用在信息安全领域同样适用，当各种复杂的防御机制也无法阻挡恶意入侵，当著名安全组织不断爆出安全漏洞，业内人士也在思考问题的症结。现有安全体系类似古代城堡，将重要资产（如企业内网等）使用高高的城墙（如防火墙等）团团围住。实际上，安全的边界变得模糊和脆弱，黑客攻击也具有系统化、长期化和经济利益驱动等特点，甚至有国家背景支持，城堡式安全体系已经无法适应新兴攻击技术的发展。国际安全会议RSA 2015年的主题“变化：挑战当前的安全理念”也正反应出安全界转换理念的共识。        

预测攻击影响  提供主动防御

大数据的兴起为新一代安全技术提供思路，大数据开放组件为各类安全数据（如事件日志、数据包等）提供海量存储、实时处理和数据挖掘等功能，为安全厂商快速、有效建立数据分析平台提供便利。大数据技术在数据规模、数据易变性以及非结构化处理具有明显的优势，应用于安全领域主要体现在安全管理、身份管理和欺诈管理三大领域。

 在安全管理方面，针对传统的威胁，防御和检测技术通常以特征检测为主，新型威胁更多利用0Day漏洞进行攻击。由于无法提前明确特征信息，导致防御侧已有SIEM系统及检测技术失效。企业和组织需要从被动防御转换到主动防御。根据多种渠道数据来源，威胁情报（Threat Intelligence）基于大数据处理和分析技术实现预测攻击影响以及识别未知威胁。通过威胁情况，安全人员在第一时间了解IT资产面临的新漏洞、新型攻击方法和工具，威胁环境变化等，在威胁溢出之前阻断攻击者。2013年以来，威胁情报一直保持北美安全技术发展的热点。此外，安全企业和组织也积极共享威胁情报信息，采用“群防群控”方式提升资源的利用率并将安全损失最小化。威胁情报共享以来数据的标准化和规范化，美国相关工作主要由政府部门和安全企业共同推动。2014年，Fortinet、Palo Alto等安全公司建立网络威胁联盟（Cyber Threat Alliance），共享威胁情报，全面提升威胁态势感知能力。美国将网络威胁情报信息共享视作提升其联邦政府信息系统安全的必要手段之一，NIST发布NIST SP 800-150网络威胁信息共享指南的草案，将信息共享、协调、协同扩展至计算机安全事件响应生命周期。      

颠覆传统认证方式  识别欺诈特征

身份认证是信息系统中确认操作者身份的过程，也是授权操作的基础。传统的认证方式通过用户知道的秘密（口令等）、用户拥有的凭证（短信验证码等）和用户所属的特性（指纹等）来鉴别用户。上述技术面临以下问题：（1）数据泄漏严重，密码不可靠；攻击者通过泄漏数据、社工等方式很容易获得账号、密码；（2）作为常用的二次认证方式，短信验证码同样面临被截取的风险；U盾具有安全性优势，但使用不便；（3）生物认证的用户体验好，但适用范围受到限制，只能在支持生物特征识别的设备上运行。新型身份认证技术需要安全性和易用性的平衡。基于大数据的身份认证通过收集用户、设备等行为数据，分析获得用户和设备的行为特征，并判断当前认证是否满足已有特征，如不满足则叠加多种认证方式。因此也被称为自适应（Adaptive）或基于风险（Risk-based）认证。大数据身份管理的核心是风险的判定，依赖于用户行为（例如时间、IP）和设备行为（例如设备号、失败次数），通过安全策略控制认证方式，黑客可能窃取账号、密码之后也无法完成认证。同时，对于绝大多数正常用户可以简化认证流程。

 反欺诈是大数据安全应用的另一类场景，例如Yahoo和Thinkmail利用大数据分析技术过滤垃圾邮件，DataVisor提供恶意账户识别技术帮助Yelp减少虚假评论。这类欺诈行为跟业务流程直接相关，用户的刷单、刷奖类营销欺诈，盗卡类交易欺诈以及商户和用户串谋欺诈等场景识别不尽相同。通过收集设备数据、用户数据和业务数据，结合机器学习技术，欺诈管理可以识别欺诈特征，提升欺诈成本。

 当然，大数据作为新型安全技术也带来多方面挑战。首先是数据的可信度，大数据安全的效果严重依赖数据质量，低质量的数据可能导致错误的结论。机器产生数据的可靠性具有保障，但也无法完全避免伪造或刻意制造的数据。因此需要从数据来源的真实性、数据传播途径和数据处理过程等多方面确保数据的可信。其次，用户隐私保护也成为各方关注焦点，通过数据碎片还原出有价值的信息，可能属于数据拥有者不愿意被披露的敏感数据。大数据安全也需要从大数据存储、搜索和计算等多方面全面考虑用户的隐私保护问题。