這也是為什么在銀行的IT基礎(chǔ)設(shè)施里幾乎看到安全產(chǎn)品的“全家福”的原因绊含，各種防火墻桑嘶、WAF躬充、IDS逃顶、IPS充甚、DLP應(yīng)接不暇以政。但在這樣的情況下伴找，依然沒(méi)能避免數(shù)據(jù)泄露盈蛮、釣魚(yú)欺詐的事件發(fā)生技矮。讓人不禁要問(wèn)抖誉，銀行信息安全防護(hù)之路在何方衰倦？

　　弄清楚這個(gè)問(wèn)題袒炉，就要從這些傳統(tǒng)的檢測(cè)機(jī)制上尋找原因∷荚纾可以說(shuō)，傳統(tǒng)的防御機(jī)制都是在犧牲了無(wú)數(shù)“小白鼠”之后包萧，對(duì)這些已知的攻擊特征做的針對(duì)性防護(hù)機(jī)制颁音，但相信哪個(gè)黑客也不會(huì)傻到用路人皆知的攻擊手段荠划，冒著被全球追捕的危險(xiǎn)去打銀行的主意恕下。

　　大數(shù)據(jù)技術(shù)的出現(xiàn)能否力挽狂瀾刘纸？

　　在攻擊者與防御者一直處于道高一尺魔高一丈的狀態(tài)下，SIEM/SOC的產(chǎn)品出現(xiàn)了,其建立在早期的日志管理之上抚袁，更多的關(guān)注日志采集后的分析、審計(jì)并發(fā)現(xiàn)問(wèn)題多尺，將日志分析的功效發(fā)揮出來(lái)。這給安全防護(hù)工作帶來(lái)了新的思路嘱巾，畢竟攻擊者在每個(gè)環(huán)節(jié)下都會(huì)雁過(guò)留痕，通過(guò)數(shù)據(jù)分析旬昭，如果真的能把隱匿在數(shù)據(jù)海洋中的攻擊者或者潛在攻擊者“揪”出來(lái)，那么攻擊方在暗處问拘，防守方在明處的不利局面將被徹底扭轉(zhuǎn)。

　　但往往事實(shí)總是與愿違骤坐，受限于技術(shù)約束绪杏，傳統(tǒng)的安全分析大都僅針對(duì)樣本數(shù)據(jù)進(jìn)行分析纽绍，并將分析結(jié)果推論到剩余的數(shù)據(jù)集合上蕾久。而隨著高級(jí)威脅和欺詐行為的不斷進(jìn)化拌夏，越來(lái)越需要對(duì)全量數(shù)據(jù)僧著，甚至是相關(guān)的情境數(shù)據(jù)進(jìn)行分析辰诉。并且當(dāng)銀行每天的數(shù)據(jù)量高達(dá)TB級(jí)時(shí)圣治，SIEM/SOC的瓶頸出現(xiàn)了，龐大的數(shù)據(jù)量和多樣性迅速成為“駱駝背上的稻草”呆埃，并且會(huì)產(chǎn)生很多誤報(bào)。

　　大數(shù)據(jù)開(kāi)始一度成為熱詞视片，這也讓銀行業(yè)嘗到了甜頭袜娇。利用大數(shù)據(jù)分析不僅可以挖掘客戶的消費(fèi)習(xí)慣做精準(zhǔn)營(yíng)銷(xiāo)赢凫，還可以在安全防護(hù)能力上更上一層樓。借助大數(shù)據(jù)安全分析技術(shù)样矢，能夠更好地解決天量安全要素信息的采集营将、存儲(chǔ)的問(wèn)題那岁。

　　不過(guò)這似乎與傳統(tǒng)數(shù)據(jù)分析除了在數(shù)據(jù)處理能力上冗美，其他差異并不是那么直觀析二。畢竟信息安全十多年來(lái)一直在利用網(wǎng)絡(luò)流量粉洼、系統(tǒng)日志和其它信息源的分析甄別威脅叶摄，檢測(cè)惡意活動(dòng)属韧，而這些傳統(tǒng)方式跟大數(shù)據(jù)有何不同還是不太清晰蛤吓，如果大數(shù)據(jù)安全分析僅是這樣宵喂，那么想在安全領(lǐng)域力挽狂瀾顯然是不夠的会傲。

　　如何做好大數(shù)據(jù)安全分析

　　其實(shí)不然，在一個(gè)較為完備的基于大數(shù)據(jù)安全分析的解決方案中唆铐，通常會(huì)有一個(gè)大數(shù)據(jù)安全分析平臺(tái)作為整個(gè)方案的核心部件哲戚，承載大數(shù)據(jù)分析的核心功能艾岂，將所有分散的安全要素信息進(jìn)行集中顺少、存儲(chǔ)以赤、分析磕裂、可視化劣饺，對(duì)分析的結(jié)果進(jìn)行分發(fā)印姑。

　　注意，是所有的安全要素狮贪，而并非僅僅是安全設(shè)備，無(wú)論是終端的尾杆、主機(jī)的设塑、應(yīng)用的狗丙、網(wǎng)絡(luò)設(shè)備的譬奈、安全設(shè)備的暇昂，還是第三方云上的莺戒，通過(guò)收集這些全量數(shù)據(jù)進(jìn)行統(tǒng)一的存儲(chǔ)急波、分析和展現(xiàn)从铲，從而發(fā)現(xiàn)里面的異常行為澄暮，并進(jìn)一步找到未知的安全威脅食店。這種思路常見(jiàn)于美國(guó)FireEye赏寇、Phantom Cyber等公司的解決方案，當(dāng)然也包括中國(guó)的HanSight价认。

　　做大數(shù)據(jù)分析，數(shù)據(jù)質(zhì)量也非常關(guān)鍵用踩，如果提供分析的數(shù)據(jù)本身就有問(wèn)題或者錯(cuò)誤渠退，那么分析結(jié)果必然有問(wèn)題脐彩。具體來(lái)說(shuō)论艰，如果IT人員僅針對(duì)海量日志進(jìn)行分析，可能由于攻擊者將關(guān)鍵日志抹除发刨，或者故意摻入假日志，反而會(huì)讓基于日志的大數(shù)據(jù)安全分析誤導(dǎo)太队。這時(shí)淑助，IT人員很強(qiáng)調(diào)對(duì)原始網(wǎng)絡(luò)流量的分析痢玖，將這些流量轉(zhuǎn)換為元數(shù)據(jù)光稽，然后進(jìn)行大數(shù)據(jù)分析，配合日志分析也拳，效果更佳。

　　能夠更加智能地洞悉信息也是大數(shù)據(jù)安全分析的優(yōu)勢(shì)之一绝迁。以銀行業(yè)為例伊镐，黑客通過(guò)一些手段偽裝成真實(shí)合法的用戶進(jìn)行資金劃轉(zhuǎn)，但上一筆記錄是北京著摔，而五分鐘之后的記錄發(fā)生在廣州，這對(duì)于銀行系統(tǒng)來(lái)說(shuō)谍咆，只要是合法用戶的操作，就不會(huì)干預(yù)摹察。但顯然在五分鐘的時(shí)間里除了超人恩掷，沒(méi)人能做到從北京直接到廣州供嚎。通過(guò)用戶異常行為的安全分析引擎黄娘，便會(huì)將這種違約交易進(jìn)行阻擋克滴，防患于未然逼争。

　　對(duì)于黑客攻擊網(wǎng)銀系統(tǒng)經(jīng)常使用的“低頻暴力破解”手法劝赔，大數(shù)據(jù)安全分析也帶來(lái)了奇效誓焦。所謂低頻暴力破解就是利用手機(jī)銀行在后臺(tái)服務(wù)端可以多次密碼試錯(cuò)的情況下诸痢，不停的撞庫(kù)進(jìn)行破解怕猖。而利用大數(shù)據(jù)安全分析便對(duì)這些仿制的原始IP查封斜回，加入到黑名單簇寻。

　　不僅如此凳贰，大數(shù)據(jù)安全分析的發(fā)展還將改變傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)架構(gòu)市通、安全分析體系哗励，并深刻變革現(xiàn)有的網(wǎng)絡(luò)安全業(yè)務(wù)模式顷敞。包括SIEM、日志分析蒜吱、欺詐檢測(cè)、威脅情報(bào)在內(nèi)的多種服務(wù)都在積極擁抱大數(shù)據(jù)安全分析技術(shù)诚凰。大數(shù)據(jù)安全分析已成為安全業(yè)務(wù)模式變革的催化劑嫌术。而也正是如HanSight這樣的團(tuán)隊(duì)努力下牌借，讓大數(shù)據(jù)安全分析開(kāi)始嶄露頭角，使銀行安全防護(hù)的道路逐漸明朗了起來(lái)膨报。