這也是為什么在銀行的IT基礎(chǔ)設(shè)施里幾乎看到安全產(chǎn)品的“全家福”的原因，各種防火墻、WAF、IDS、IPS、DLP應(yīng)接不暇。但在這樣的情況下，依然沒能避免數(shù)據(jù)泄露、釣魚欺詐的事件發(fā)生。讓人不禁要問，銀行信息安全防護(hù)之路在何方？

　　弄清楚這個(gè)問題，就要從這些傳統(tǒng)的檢測(cè)機(jī)制上尋找原因。可以說，傳統(tǒng)的防御機(jī)制都是在犧牲了無數(shù)“小白鼠”之后，對(duì)這些已知的攻擊特征做的針對(duì)性防護(hù)機(jī)制，但相信哪個(gè)黑客也不會(huì)傻到用路人皆知的攻擊手段，冒著被全球追捕的危險(xiǎn)去打銀行的主意。

　　大數(shù)據(jù)技術(shù)的出現(xiàn)能否力挽狂瀾？

　　在攻擊者與防御者一直處于道高一尺魔高一丈的狀態(tài)下，SIEM/SOC的產(chǎn)品出現(xiàn)了,其建立在早期的日志管理之上，更多的關(guān)注日志采集后的分析、審計(jì)并發(fā)現(xiàn)問題，將日志分析的功效發(fā)揮出來。這給安全防護(hù)工作帶來了新的思路，畢竟攻擊者在每個(gè)環(huán)節(jié)下都會(huì)雁過留痕，通過數(shù)據(jù)分析，如果真的能把隱匿在數(shù)據(jù)海洋中的攻擊者或者潛在攻擊者“揪”出來，那么攻擊方在暗處，防守方在明處的不利局面將被徹底扭轉(zhuǎn)。

　　但往往事實(shí)總是與愿違，受限于技術(shù)約束，傳統(tǒng)的安全分析大都僅針對(duì)樣本數(shù)據(jù)進(jìn)行分析，并將分析結(jié)果推論到剩余的數(shù)據(jù)集合上。而隨著高級(jí)威脅和欺詐行為的不斷進(jìn)化，越來越需要對(duì)全量數(shù)據(jù)，甚至是相關(guān)的情境數(shù)據(jù)進(jìn)行分析。并且當(dāng)銀行每天的數(shù)據(jù)量高達(dá)TB級(jí)時(shí)，SIEM/SOC的瓶頸出現(xiàn)了，龐大的數(shù)據(jù)量和多樣性迅速成為“駱駝背上的稻草”，并且會(huì)產(chǎn)生很多誤報(bào)。

　　大數(shù)據(jù)開始一度成為熱詞，這也讓銀行業(yè)嘗到了甜頭。利用大數(shù)據(jù)分析不僅可以挖掘客戶的消費(fèi)習(xí)慣做精準(zhǔn)營銷，還可以在安全防護(hù)能力上更上一層樓。借助大數(shù)據(jù)安全分析技術(shù)，能夠更好地解決天量安全要素信息的采集、存儲(chǔ)的問題。

　　不過這似乎與傳統(tǒng)數(shù)據(jù)分析除了在數(shù)據(jù)處理能力上，其他差異并不是那么直觀。畢竟信息安全十多年來一直在利用網(wǎng)絡(luò)流量、系統(tǒng)日志和其它信息源的分析甄別威脅，檢測(cè)惡意活動(dòng)，而這些傳統(tǒng)方式跟大數(shù)據(jù)有何不同還是不太清晰，如果大數(shù)據(jù)安全分析僅是這樣，那么想在安全領(lǐng)域力挽狂瀾顯然是不夠的。

　　如何做好大數(shù)據(jù)安全分析

　　其實(shí)不然，在一個(gè)較為完備的基于大數(shù)據(jù)安全分析的解決方案中，通常會(huì)有一個(gè)大數(shù)據(jù)安全分析平臺(tái)作為整個(gè)方案的核心部件，承載大數(shù)據(jù)分析的核心功能，將所有分散的安全要素信息進(jìn)行集中、存儲(chǔ)、分析、可視化，對(duì)分析的結(jié)果進(jìn)行分發(fā)。

　　注意，是所有的安全要素，而并非僅僅是安全設(shè)備，無論是終端的、主機(jī)的、應(yīng)用的、網(wǎng)絡(luò)設(shè)備的、安全設(shè)備的，還是第三方云上的，通過收集這些全量數(shù)據(jù)進(jìn)行統(tǒng)一的存儲(chǔ)、分析和展現(xiàn)，從而發(fā)現(xiàn)里面的異常行為，并進(jìn)一步找到未知的安全威脅。這種思路常見于美國FireEye、Phantom Cyber等公司的解決方案，當(dāng)然也包括中國的HanSight。

　　做大數(shù)據(jù)分析，數(shù)據(jù)質(zhì)量也非常關(guān)鍵，如果提供分析的數(shù)據(jù)本身就有問題或者錯(cuò)誤，那么分析結(jié)果必然有問題。具體來說，如果IT人員僅針對(duì)海量日志進(jìn)行分析，可能由于攻擊者將關(guān)鍵日志抹除，或者故意摻入假日志，反而會(huì)讓基于日志的大數(shù)據(jù)安全分析誤導(dǎo)。這時(shí)，IT人員很強(qiáng)調(diào)對(duì)原始網(wǎng)絡(luò)流量的分析，將這些流量轉(zhuǎn)換為元數(shù)據(jù)，然后進(jìn)行大數(shù)據(jù)分析，配合日志分析，效果更佳。

　　能夠更加智能地洞悉信息也是大數(shù)據(jù)安全分析的優(yōu)勢(shì)之一。以銀行業(yè)為例，黑客通過一些手段偽裝成真實(shí)合法的用戶進(jìn)行資金劃轉(zhuǎn)，但上一筆記錄是北京，而五分鐘之后的記錄發(fā)生在廣州，這對(duì)于銀行系統(tǒng)來說，只要是合法用戶的操作，就不會(huì)干預(yù)。但顯然在五分鐘的時(shí)間里除了超人，沒人能做到從北京直接到廣州。通過用戶異常行為的安全分析引擎，便會(huì)將這種違約交易進(jìn)行阻擋，防患于未然。

　　對(duì)于黑客攻擊網(wǎng)銀系統(tǒng)經(jīng)常使用的“低頻暴力破解”手法，大數(shù)據(jù)安全分析也帶來了奇效。所謂低頻暴力破解就是利用手機(jī)銀行在后臺(tái)服務(wù)端可以多次密碼試錯(cuò)的情況下，不停的撞庫進(jìn)行破解。而利用大數(shù)據(jù)安全分析便對(duì)這些仿制的原始IP查封，加入到黑名單。

　　不僅如此，大數(shù)據(jù)安全分析的發(fā)展還將改變傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)架構(gòu)、安全分析體系，并深刻變革現(xiàn)有的網(wǎng)絡(luò)安全業(yè)務(wù)模式。包括SIEM、日志分析、欺詐檢測(cè)、威脅情報(bào)在內(nèi)的多種服務(wù)都在積極擁抱大數(shù)據(jù)安全分析技術(shù)。大數(shù)據(jù)安全分析已成為安全業(yè)務(wù)模式變革的催化劑。而也正是如HanSight這樣的團(tuán)隊(duì)努力下，讓大數(shù)據(jù)安全分析開始嶄露頭角，使銀行安全防護(hù)的道路逐漸明朗了起來。