数据驱动安全”之谈谈数据分析这点事 - APT防御产品

数据驱动安全”之谈谈数据分析这点事

 互联网+ 的实质是一切活动数字化,通过数据化的方式来改变传统业务,驱动业务管理。所谓体系化、规范化等都是在数据化的基础上而形成。如何有效的实现“数据分析+应用变现”,挖掘数据的价值,探索到合理的商业模式,是当务之急。就信息安全行业而言,谈谈数据分析这点事。

     1、从平台到内容的过渡(“平台+内容”)

     航母是一个平台,自己不产生进攻能力,让航母上的舰载机具备强大进攻能力,它是一个生态。下一个十年是“内容为王”的时代,“平台”因“内容”而产生价值。对信息安全行业依然如此,从产品到平台到内容的转化。

    从cyphort的这幅图上,能够清晰的看到“产品”—“平台”—“内容”的层级。

“数据驱动安全”之谈谈数据分析这点事(1) - 第1张 | Sec-UN 安全圈

     传统的安全产品主要是采集或提供安全基础信息,并执行分析平台分析后的处置动作(action),这里一般分为从网络层、终端(含服务器)上来执行action。
    平台主要包含了数据的存储、共享,同时分析平台提供API接口,和传统安全产品进行“互动”。平台主要是要保证性能、稳定性等。
    通过Correlation、Analytics、Inspect产生内容。内容附带了action。

  

    另一副RSA大会上CISCO的图也能看出大致的架构。威胁情报的分析很关键(外部的威胁情报共享、本地的威胁情报分析&情景感知)。安全情报就是“内容”的一种,安全情报就是“内容”的一种,TIA是威胁情报分析,通过stix的标准格式进行信息的共享。

“数据驱动安全”之谈谈数据分析这点事(1) - 第2张 | Sec-UN 安全圈


    2、数据分析的成熟度模型
   托马斯达文波特提出一个分析的成熟度模型,下图显示了数据分析的不同层级,值得我们思考。基本遵循了从标准报告、专项报告、告警、统计分析、取证、预测的逐层递进。

“数据驱动安全”之谈谈数据分析这点事(1) - 第3张 | Sec-UN 安全圈

   3、安全数据分析需要的技能
    数据分析需要三个学科的交叉:安全技能(这里不是“黑客”,是安全攻防技术),对业务的深入理解,以及数学和统计(包括应用数据分析工具)。

   现在的大数据安全分析很难,主要是同时具备这三部分能力的团队太少。通过协同合作可以来解决这些问题。安全攻防知识是基础,对业务和数据的深入理解才是根本。

   放两幅图,不做过多的介绍了。

“数据驱动安全”之谈谈数据分析这点事(1) - 第4张 | Sec-UN 安全圈“数据驱动安全”之谈谈数据分析这点事(1) - 第5张 | Sec-UN 安全圈

数据的真实性、数据的噪音等等需要关注的,这些放到下一期再谈。


转载请注明出处 APT防御产品 » 数据驱动安全”之谈谈数据分析这点事

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址