網(wǎng)絡(luò)數(shù)字化及人工智能為許多行業(yè)來(lái)革命性的進(jìn)步,但與此同時(shí),網(wǎng)絡(luò)安全領(lǐng)域產(chǎn)生的問(wèn)題也日益嚴(yán)峻。人工智能進(jìn)攻性風(fēng)險(xiǎn)和網(wǎng)絡(luò)威脅領(lǐng)域的發(fā)展正在重新定義企業(yè)安全,從而給企業(yè)帶來(lái)了更高的挑戰(zhàn)。如何守護(hù)網(wǎng)絡(luò)安全,成為企業(yè)深化數(shù)字化轉(zhuǎn)型進(jìn)程中的重要一環(huán)。
在大數(shù)據(jù)得到廣泛應(yīng)用的時(shí)代,利用數(shù)據(jù)分析技術(shù)是快速提升網(wǎng)絡(luò)安全防護(hù)能力的一種有效途徑。作為全球圖數(shù)據(jù)平臺(tái)的領(lǐng)導(dǎo)者,Neo4j圖數(shù)據(jù)平臺(tái)可以輕松對(duì)復(fù)雜關(guān)系進(jìn)行建模、存儲(chǔ)和處理,并識(shí)別隱藏在傳統(tǒng)表格數(shù)據(jù)集中的模式和洞察。Neo4j圖數(shù)據(jù)平臺(tái)優(yōu)異的可擴(kuò)展性、全面的圖算法和強(qiáng)大的圖分析能力在識(shí)別網(wǎng)絡(luò)安全隱患、提升監(jiān)察網(wǎng)絡(luò)攻擊速度及提供實(shí)時(shí)檢測(cè)響應(yīng)等方面凸顯優(yōu)勢(shì)。
運(yùn)營(yíng)澳大利亞第二大移動(dòng)網(wǎng)絡(luò)的新加坡電信子公司Optus最近遭受了嚴(yán)重的網(wǎng)絡(luò)攻擊,導(dǎo)致其1000萬(wàn)用戶(hù)信息發(fā)生重大數(shù)據(jù)泄露。除了聲譽(yù)損失外,這家電信公司還面臨著昂貴的賠償要求,并且收到了數(shù)百萬(wàn)美元的贖金要求。
傳統(tǒng)企業(yè)級(jí)安全和預(yù)防網(wǎng)絡(luò)犯罪的方法顯然不再奏效。部分問(wèn)題在于防御者和攻擊者之間的失衡。安全團(tuán)隊(duì)的工作更加繁重,要防范一切可能的攻擊并修補(bǔ)所有潛在的漏洞。他們有很多不同的職責(zé),而攻擊者只有一個(gè)重點(diǎn):尋找并利用其中一個(gè)薄弱環(huán)節(jié)。
列表與圖
網(wǎng)絡(luò)安全團(tuán)隊(duì)依賴(lài)來(lái)源廣泛的數(shù)據(jù)。大型企業(yè)平均部署75種安全工具,所有工具都會(huì)持續(xù)生成警報(bào)和日志。此外,許多其他應(yīng)用程序和服務(wù)也會(huì)生成相關(guān)的日志文件。大型企業(yè)每天產(chǎn)生大約10到1000億個(gè)事件。通過(guò)傳統(tǒng)的數(shù)據(jù)庫(kù)分析幾乎無(wú)法管理如此龐大的數(shù)據(jù)量。Neo4j圖數(shù)據(jù)平臺(tái)將數(shù)據(jù)之間的關(guān)系作為優(yōu)先級(jí),使用圖數(shù)據(jù)庫(kù)可直觀顯示,對(duì)于高度互連、數(shù)據(jù)量龐大、數(shù)據(jù)種類(lèi)繁多以及需要對(duì)復(fù)雜查詢(xún)作出快速響應(yīng)的分析非常有效。
當(dāng)防御者在處理一個(gè)列表時(shí),攻擊者用圖思考。現(xiàn)代系統(tǒng)是復(fù)雜的互連網(wǎng)絡(luò),只需感染一個(gè)節(jié)點(diǎn)即可快速輕松地在整個(gè)網(wǎng)絡(luò)中傳播。列表和表格可能有利于收集和處理數(shù)據(jù),但它們忽略了數(shù)據(jù)點(diǎn)之間的關(guān)鍵關(guān)系。Microsoft?威脅情報(bào)中心的John Lambert觀察到:“防御者用列表思考,而攻擊者用圖思考。只要這是事實(shí),攻擊者必然獲勝?!?/p>
通過(guò)采用基于圖的安全方法,組織可以映射其復(fù)雜且相互關(guān)聯(lián)的基礎(chǔ)架構(gòu),并隨著時(shí)間的推移對(duì)其進(jìn)行豐富。Neo4j圖技術(shù)的強(qiáng)大之處在于它捕獲了不同的實(shí)體以及它們之間的關(guān)聯(lián)和依賴(lài)關(guān)系。由此創(chuàng)建了一個(gè)可用于測(cè)試和運(yùn)行不同場(chǎng)景的數(shù)字孿生。
主動(dòng)網(wǎng)絡(luò)防御
許多網(wǎng)絡(luò)攻擊的本質(zhì)是從一個(gè)小點(diǎn)開(kāi)始并蔓延開(kāi)來(lái)??刂聘腥尽P(guān)閉受感染的設(shè)備并切斷它們——堪稱(chēng)是一場(chǎng)與時(shí)間的賽跑。有了所有基礎(chǔ)架構(gòu)的清晰模型,就可以更輕松地識(shí)別最重要的資產(chǎn)并更好地瞄準(zhǔn)安全投資。
可疑行為會(huì)以模型的形式出現(xiàn),從而減少檢測(cè)的平均時(shí)間并隔離受感染的系統(tǒng)。隨著時(shí)間的推移,可以識(shí)別出歷史上的異常模式,從而在威脅發(fā)生前阻止它們。
MITRE?是一家與美國(guó)政府機(jī)構(gòu)合作的非營(yíng)利IT公司,它需要找到更成熟的方法來(lái)評(píng)估安全狀況和攻擊響應(yīng)。問(wèn)題并不在于缺乏信息,而是無(wú)法將所有數(shù)據(jù)整合到一個(gè)整體的分析圖中。
通過(guò)構(gòu)建Neo4j圖數(shù)據(jù)庫(kù),MITRE將網(wǎng)絡(luò)安全信息轉(zhuǎn)化為知識(shí)。該模型隨著可用的數(shù)據(jù)源和所需的分析而發(fā)展。因?yàn)楦檶?shí)體之間的關(guān)系,因此對(duì)攻擊做出適當(dāng)反應(yīng)和保護(hù)關(guān)鍵任務(wù)資產(chǎn)提供了上下文情境。
安全圖還包含任務(wù)依賴(lài)關(guān)系,顯示目標(biāo)、任務(wù)和信息如何全部依賴(lài)于其他網(wǎng)絡(luò)資產(chǎn)。入侵警報(bào)可以與已知的漏洞路徑相關(guān)聯(lián),從而提出行動(dòng)方案。攻擊后取證變得更容易,揭示可能需要更深入調(diào)查的易受攻擊的路徑。
網(wǎng)絡(luò)安全永遠(yuǎn)是一場(chǎng)貓捉老鼠的游戲,防御和攻擊方法的復(fù)雜性都在不斷升級(jí)。也許永遠(yuǎn)無(wú)法保證絕對(duì)的安全性,要實(shí)現(xiàn)迅速采取措施限制攻擊,采用圖數(shù)據(jù)技術(shù)等安全措施來(lái)檢測(cè)違規(guī)行為變得更加重要。