2013年11月,早些时候侵入目标零售连锁店服务器的黑客上传了恶意软件,允许他们想窃取的信用卡数据被转发到公司外部。
据彭博新闻社报道,塔吉特的新火眼检测软件发现了恶意软件,并向安全团队发送了警报。
这本该是分析学的一次胜利,但却被忽视了。与此同时,数千万的姓名、地址、电话号码和支付卡数据从这家零售商流出。
一段时间以来,CISOs已经知道他们需要技术来帮助他们对抗那些有时间和金钱支持的攻击者。然而,尽管近年来该行业做出了巨大努力,但进展一直缓慢——有时,就像塔吉特一样,受到人们的阻碍。
正如一名前联邦调查局(FBI)特工上月在多伦多的一次会议上所说,这是许多大型数据泄露事件中反复出现的一个主题:警告是存在的,但不知怎的,它们没有被看到,也没有被执行。
Forrester Research的企业安全分析师约翰•金德瓦格(John Kindervag)表示:“尽管分析是未来的趋势,但我们距离真正有能力对安全进行有用的分析,还有很长的路要走。”
其他人则更有希望。在最近的一次采访中,预测分析公司FICO (Fair Isaac Corporation)新任首席分析官斯科特·佐尔迪(Scott Zoldi)谈到了该公司如何将其欺诈检测技术应用到即将推出的网络安全解决方案中,以帮助改善保护。
他表示:“网络的挑战之一是,数据在不断变化,攻击在不断变化,有必要对数据进行动态分析。”“我们通常称其为流分析——这实际上意味着你不会根据去年的威胁数据建立一个模型,因为你知道攻击模式正在改变。”
的流数据(包括Netflow信息、DNS信息DHCP变化,ICMP记录等)建立所谓的事务行为概要描述典型的使用设备或交通设备,如《纽约时报》的一天活动,网站是什么,在什么国家。从这一点上,软件可以看出模式中的偏差。
分析人员建立了一个模型来生成一个分数,infosec专业人员可以使用这个分数来做决策——其中一些可以被自动化。
FICO即将推出的网络安全解决方案将增加来自其他供应商解决方案的深度数据包检查,以创建分数。
“移动在工业和FICO和让这些这些分析更容易一个业务或技术所有者可能没有一组数据科学家,“Zolti添加——例如FICO的决定有一个自动化modeler管理套件,让用户点数据和标签在事务时,按下按钮,它会生成一个模型。
从理论上讲,安全信息和事件管理(SIEM)套件,作为大量日志、流和包数据注入的管道,以及入侵检测解决方案,应该是分析和自动化的重要来源。相反,它们有时会产生误报,让IT安全团队陷入昏睡状态。
举个例子:目标。
Forrester的Kindervag认为,解决方案是一个更自动化的威胁响应过程,其基础是开发一套网络“交战规则”,这将使安全和风险管理专业团队能够更快地采取行动,阻止数据泄露。
一年前,他与人合著了一份报告,该报告表明分析和自动化可以携手合作。
首先,组织必须创建安全需求的策略声明。安全团队将其转换为一组规则或配置,供分析引擎处理设备和网络数据使用。引擎(或者,更准确地说,软件工具)生成安全团队用于自动响应的风险评分。
例如,如果得分上的置信水平很高,潜在影响水平也很高,则声明的安全策略应该规定安全控制停止或自动阻止可疑流量。
报告补充称,企业应确定最适合其风险状况和胃口的规模和门槛。
“保护我们的数据不被黑客和网络罪犯窃取的唯一方法是为我们的安全团队提供一套激励自动响应的规则,”报告总结道。