利用大数据捕捉网络威胁

“数据已经成为新时代的‘石油’资源。”

最近几个月大数据的激增人气再次显露出来。对于我们这帮搞技术的人士而言，数据始终是贯穿生活始终的核心价值所在。但在过去数年中，它的价值则变得更加透明。无论是智能手机、基础设施所在地的电网体系还是硅谷新兴企业的运作模式，都开始围绕“数据”这一概念大做文章。人们群众纷纷表示，数据代表着新一轮潜在的企业盈利能力。

(当然，电力仍然是一切的保障。试想我们坐在没电的办公室里，盯着手机上即将归零的电池剩余，数据什么的自然只能是浮云。但这好像跟今天的话题没啥关系。)

几十年来，数据已经成为企业运营的润滑剂与推动力。如今，“大数据”这一涉及庞大复杂数据合集计算、整理与分析的模糊概念则带来新的价值增长点，并承诺为企业加速信息向财富的转化过程。

原因在于：随着数据量的爆炸式增长，对其加以利用的可能性也将相应提高。数据自身与生俱来的关联特性既成为前所未有的发展机遇，也带来了诸多极为罕见的技术阻碍。

只要略加分析大家就会发现，发掘数据潜能的最大挑战在于选择理想的大数据解决方案。换言之，我们需要利用大数据来实现大数据保护工作。这跟电影《盗梦空间》的剧情设定如出一辙——利用梦境来改变梦境。

Seculert公司是一家以色列新兴安全企业，其主要发展方向是利用大数据分析技术捕捉企业中的网络威胁。今年十月下旬，他们推出了一款名为“Seculert Sense”的专有引擎，尝试利用Amazon Elastic MapReduce从活动僵尸网络、恶意软件及日志文件等由客户上传到云端的信息中收集数以TB的数据并加以分析。而分析结果将被传输到一款基于Web的安全专用控制面板当中。

研发初衷：加快威胁检测速度、提高防御体系灵活性，使现有安全措施更好地适应不断变化的网络威胁并解决日益壮大的外部网络企业活动所带来的安全难题。

为了了解更多信息，我对该公司创始人Aviv Raff(简称AR)与Dudi Matot(简称DM)进行了一次专访。

我： Seculert公司是如何建立起来的?

DM: 这家公司于2010年诞生，但我们在那之前就已经开始关注这块市场了。

如果把目光投向2000年之初，也就是03到04年之间，那时候恶意软件所针对的还主要是金融类消费者。而2006年左右依托僵尸网络实现的信息扫描与拒绝服务活动则成为主流。到了09、10年，攻击者的目标又开始针对企业环境。当时谷歌公司是第一家明确表示自己受到攻击的企业，据说当时的攻击活动来自中国。其后反应遭遇侵袭的公司逐渐增加，最终达到70多家，大部分安全服务供应商都被牵涉其中。

多数传统安全供应商只向客户提供管理政策或者基于签名的解决方案。他们研发相关工具，而客户则负责配置工作。其它的就不用指望了，方案已经成形，大家只能祈祷这些产品真有拒敌于千里之外的本事。

现在黑客们在入侵企业并获取专有信息方面的技术水平已经越来越高，因此我们一直在努力收集资料，以揪出那些无法被现有系统所发现的恶意活动。

目前大多数遭遇侵袭的企业尚处于懵懂之中，他们没有意识到自己的安全体系已经被攻破。就像一群目光短浅的小羊羔，他们躺在旧技术与旧概念打造的残舍破窑中，还以为自己非常安全。

说到这里，我要感谢以大数据为代表的云计算及其它现代技术。在它们的帮助下，我们才有能力获取以TB计算的海量数据、以分布式方式通过精心开发的代码对其进行处理与关联，并最终拿出复杂而准确的分析结论。

我：您的公司非常重视企业网络之外的安全保护工作。我想自带设备趋势正是成就这一设想的重要因素。

AR: 现在企业员工会以远程方式接入内部网络——从家中、在旅途上、使用自行购买的移动设备等等。这种状况对传统管理方案提出了严峻挑战——过去的工具只允许企业管理属于自己的系统和设备。我们的产品则能够检测到来自外部的、存在安全问题的接入设备。

这套产品不会给企业管理者带来硬件或存储等方面的压力。对管理范围进行扩展其实非常简单——大家可以通过配置直接将日志记录范围从一个月提高到一年，整个调整过程一小时内就能完成。

DM: 许多应用程序及其它技术资产正向云环境转移。越来越多的员工开始以远程及外部方式处理内部事务。事实上继续在网络安全工作中苦苦挣扎已经没有任何好处——针对有限的几种设备进行复杂精密的检测，这实在有点吃力不讨好。相比之下，云环境就要友善得多。由于设备都在服务供应商那边，大家完全不必费心进行管理及维护。

大多数供应商所提供的设备都能带来良好的企业网络覆盖效果——通过网关或者其它机制。Check Point、Palo Alto网络公司等都是不错的选择。但还没有哪家供应商能切实保护远程员工，目前大家只能指望这些员工自发安装杀毒软件并严格遵守安全政策。IT部门正在行动，但他们在安全性方面还没什么实质性进展。目前流行的管理体系相对过去而言实在太过松散。

AR:企业管理者当然明白自己在发展趋势方面的局限性。我们正努力帮助他们勘破这个复杂多变的时代、了解组织之外的真实世界，并把握新型恶意软件对现有安全机制的影响。大家可能已经在保护方案上花掉了数百万美元，但Seculert作为补充性服务绝对物有所值，它能有效弥补现有体系的不足之处。

我：那么Seculert要如何证明自身价值、拓展市场份额?通过宣扬对未知领域的恐惧感吗?新兴企业的立足根本在于处理尚未解决的问题，但如果企业自己根本没意识到问题的存在，又该如何是好?

AR: 企业会定期进行运营状况统计，因此我们相信管理者很清楚自己已经遭受的侵袭，却不了解侵袭的具体情况。他们大多表示“根据分析，企业已经遭遇了安全问题，但我们还不清楚攻击来自哪里、造成何种影响。”

DM: 我们提供免费试用产品。企业可以根据自身情况设定关键词，而我们则将这些关键词与自己的数据库及收集到信息相关联。如果发现了与关键词相匹配的内容，就意味着我们能够成功找到企业现有技术资产中已经发生问题、甚至成为僵尸网络组成部分的对象。这也正是Seculert Echo产品的运作机制。

我们还允许企业客户分析我们的内部管理日志，这样就能检测出针对他们所开展的攻击活动。一旦某种安全漏洞被A所利用，相信很快也会被B、C等更多攻击者所掌握。这就是Seculert Sense产品的意义所在。

我：也就是说随着客户群体不断扩大，Seculert产品的实际表现也会越来越好。

DM: 没错，当然。

我：为什么要以独立的形式推出服务产品，而不是将其整合到现有网络安全公司的主流项目当中呢?我的意思是说，既然二者之间是互补关系，那么合而为一不是更符合逻辑吗?

DM:我们的产品确实是以供应商为中心，而不仅仅针对单一的企业客户。

我：您的意思是，把产品提供给多家安全服务供应商，比把自己捆绑在一家特定供应商要更科学、经济利益也更理想啰?

DM: 正是如此。