Tradycyjne podejście do bezpieczeństwa sieci polegające na ochronie styku lokalnego środowiska z siecią publiczną nie przystaje do dzisiejszej rzeczywistości. Alternatywą, która może istotnie poprawić sytuację w obszarze bezpieczeństwa, jest analityka Big Data.

Big Data, według Gartnera, odegra kluczową rolę w wykrywaniu cyberataków. Do roku 2016 ponad 25% międzynarodowych korporacji wdroży tego rodzaju rozwiązania analityczne w przynajmniej jednym obszarze bezpieczeństwa. Dziś jest to 8%. Big Data zmieni większość kategorii produktów bezpieczeństwa sieciowego, w tym monitorowanie sieci, mechanizmy uwierzytelniania użytkowników, zarządzanie tożsamością, wykrywanie oszustw oraz systemy zarządzania ryzykiem. Zmieni również charakter takich zabezpieczeń, jak konwencjonalne zapory sieciowe, programy antywirusowe czy systemy zapobiegające wyciekom danych. W najbliższych latach narzędzia analizy danych będą rozwijane, aby udostępnić szereg zaawansowanych funkcji predykcyjnych i funkcji kontroli w czasie rzeczywistym.

Od poprawy bezpieczeństwa do ochrony środowiska IT

Analizę danych można wykorzystać do poprawy bezpieczeństwa informacji oraz uzyskania lepszego obrazu tego, co dzieje się w korporacyjnym środowisku IT. Technologię tę można np. zaprząc do analizy transakcji finansowych, plików dziennika oraz ruchu w sieci, aby wykrywać anomalie i podejrzane działania, a także aby otrzymać spójny widok skorelowanych informacji z wielu źródeł.

Systemy bezpieczeństwa opierające się na analizie danych mają korzenie w systemach wykrywania oszustw bankowych i systemach wykrywania włamań (IDS). Wykrywanie oszustw jest jednym z najbardziej widocznych zastosowań analityki Big Data. Firmy obsługujące karty kredytowe korzystają z takich rozwiązań od dziesięcioleci. Jednak specyficzna, budowana na zamówienie architektura Big Data do wykrywania oszustw  okazała się zbyt kosztowna, aby stosować ją w innych obszarach bezpieczeństwa. Obecnie są już na rynku gotowe narzędzia i techniki, które rozszerzają możliwości wykorzystania Big Data jako mechanizmu bezpieczeństwa.

Analiza danych w bezpieczeństwie

Eksperci tak opisują ewolucję zabezpieczeń, stymulowaną przez rosnącą rolę analizy danych w bezpieczeństwie. Pierwszą generację stanowią systemy IDS. Eksperci bezpieczeństwa dostrzegli bowiem konieczność wdrażania wielowarstwowych zabezpieczeń, np. aktywnej ochrony i reagowania na włamania.

Drugą generacją są rozwiązania SIEM (Security Information & Event Management). Zarządzanie alertami pochodzącymi z różnych zabezpieczeń jest dużym wyzwaniem w środowisku korporacyjnym. Systemy SIEM agregują alerty z wielu źródeł i filtrują je, a osobom odpowiedzialnym za bezpieczeństwo prezentują tylko informacje o zdarzeniach, które wymagają reakcji.

Trzecia generacja to już systemy Big Data, które mają potencjał, aby znacznie podnieść zdolności „wywiadowcze” systemów bezpieczeństwa. Big Data redukuje czas potrzebny do korelacji, konsolidacji i opisywania informacji o zdarzeniach związanych z bezpieczeństwem. Może również posłużyć do analizy danych historycznych w przypadku konieczności zbadania jakiś zdarzeń z przeszłości.

Big Data, czyli rewolucja w analizie komunikacji sieciowej

Analizowanie logów, komunikacji sieciowej czy dzienników zdarzeń zawsze sprawiało spore problemy. Wynikało to z faktu, że dostępne technologie nie dawały możliwości zbudowania narzędzi, które byłyby w stanie realizować analitykę na dużą skalę. Przyczyną były koszty przechowywania danych, braku możliwości odpowiednio wydajnego ich przetwarzania czy nieprzystosowanie do analizy nieustrukturyzowanych danych.

Nowe technologie Big Data, jak cały ekosystem Hadoopa i możliwość przetwarzania strumieni danych znacznie ułatwiły przechowywanie i analizowanie bardzo dużych, niejednorodnych zbiorów danych, zapewniając jednocześnie odpowiednią wydajność i skalowalność. Te technologie zmienią analitykę bezpieczeństwa, dając możliwości gromadzenia na masową skalę danych z wielu źródeł wewnętrznych i zewnętrznych, np. baz danych z informacjami o podatnościach. Umożliwią również przeprowadzanie znacznie głębszych analiz na danych, dostarczą skonsolidowane informacje o bezpieczeństwie oraz będą w stanie w czasie rzeczywistym przetwarzać strumienie danych. Trzeba dodać, że narzędzia Big Data nadal wymagają architektów i analityków systemowych, będących w stanie prawidłowo je skonfigurować.

Przedsiębiorstwa rutynowo zbierają terabajty danych dotyczących bezpieczeństwa (np. o zdarzeniach w sieci czy działaniu aplikacji). Wynika to z kilku powodów, m.in. konieczności spełnienia wymogów prawnych czy też na potrzeby analityki śledczej. Niestety danych jest tak dużo, że szybko zaczynają przytłaczać. Firmy ledwo radzą sobie z zapisywaniem danych, o ich przetwarzaniu nawet nie wspominając.

Problem: bilion zdarzeń dziennie do analizy

Szacuje się np., że przedsiębiorstwo generuje bilion zdarzeń dziennie, czyli około 12 mln na sekundę. Liczby te będą rosły, ponieważ przedsiębiorstwa będą rejestrować zdarzenia z coraz większej liczby źródeł, zatrudniać więcej pracowników, wdrażać więcej urządzeń i uruchomiać dodatkowe oprogramowanie. Istniejące techniki analityczne nie działają dobrze na taką skalę i zazwyczaj generują tak wiele fałszywych alarmów, że ich przydatność staje pod znakiem zapytania. Problem staje się jeszcze poważniejszy, jeśli przedsiębiorstwo chce przejść do architektury chmurowej i zbierać jeszcze więcej danych. Mamy do czynienia z sytuacją, w której przyrost danych powoduje, że wydobywa się z nich coraz mniej informacji.

Prowadzone są prace mające odwrócić tę zależność. Wymaga to opracowania algorytmów i wdrożenia systemów, które potrafią analizować duże zbiory danych i wydobywać z nich wartościowe informacje. Jednakże wiąże się to z pokonaniem wielu wyzwań technologicznych (jak przesyłanie, zbieranie, przechowywanie i wizualizacja danych) oraz dotyczących ochrony prywatności. Ważnym celem jest również ograniczenie liczby fałszywych alarmów (false positive), aby system zgłaszał jak największy odsetek alertów dotyczących faktycznych zagrożeń.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn