跳轉到主要內容
Beplay体育安卓版本平台的博客

改善威脅檢測在一個大數據的世界

邁克爾·奧爾特加
安全主管Marzena富勒
通過邁克爾·奧爾特加安全主管Marzena富勒

2017年12月4日, Beplay体育安卓版本平台的博客

分享這篇文章

在2017年備受關注的網絡安全漏洞占據媒體頭條。今年上半年,/ 1.9 b記錄都被偷了。超過7000的記錄了每一分鍾。和單個事件的影響是驚人的。客戶流失率、負麵公關和監管罰款金額數百萬美元的經濟損失。事實上,最近的研究顯示IBM數據泄露的平均成本是3.62美元。

每天有成千上萬的記錄被盜這回避了問題的實質為什麼會這樣,可以做些什麼來幫助防止嗎?

複雜的環境威脅

網絡犯罪變得更加複雜。不再依靠單一策略滲透企業防火牆,大多數罪犯使用協調,多管齊下的攻擊。Verizon公司最近發布了一列出最常見的戰術利用網絡犯罪的明確的方法是多樣的:

網絡罪犯使用什麼戰術?

  • 62%——黑客
  • 51%——惡意軟件
  • 43%——社會攻擊
  • 14%——濫用特權的權利
  • 14%——一個員工錯誤的結果
  • 8%,損失/盜竊的物理介質

防止一個類型的攻擊是不夠的。讓事情更複雜,網絡犯罪已經開始利用AI-supported係統規模快速攻擊,個性化網絡釣魚郵件,識別係統漏洞,惡意軟件和ransomware突變。這些日益複雜的攻擊需要保持領先的網絡安全團隊監控他們的廣泛的網絡威脅,可能會或可能不會像傳統模式的威脅。

大數據管理威脅世界的挑戰

保持了解最新的威脅並不是唯一的挑戰。日益增長的數量和複雜性的威脅需要安全團隊來捕獲和我的大量的數據,以避免違約。然而,安全信息和事件管理(SIEM)和威脅檢測工具,他們依靠不了大數據記住導致一係列的挑戰:

  • 無法有效——規模成本公司部署在自己的網絡日誌和監控設備,終端用戶設備和生產機器來幫助檢測可疑行為。這些工具產生海量日誌數據,需要更符合實際的實時分析。處理海量數據需要巨大的計算能力。不幸的是,大多數SIEM工具建立本地環境需要重大的擴建項目,以滿足加工要求。此外,大多數SIEM工具客戶收取每GB的數據攝取。beplay体育app下载地址這使得擴展威脅檢測工具對大量數據的成本非常高昂。
  • 無法實時進行曆史性的回顧——識別網絡安全漏洞一旦發生是最小化的關鍵數據盜竊、破壞和創造的積壓。當一個事件發生時,安全分析需要進行深刻的曆史性分析全麵調查的有效性和廣度攻擊。不意味著有效範圍內現有工具大多數安全團隊隻有幾周的曆史數據。這限製了安全團隊識別攻擊的能力長時間範圍或實時進行司法審查。
  • 大量的假陽性另一個常見的挑戰是產生的大量的假陽性SIEM工具。捕獲的大量數據操作係統日誌中,雲基礎設施日誌、入侵檢測係統和其他監控設備產生孤立的事件,或與其他活動可能預示著一個網絡。大多數事件需要進一步調查以確定威脅是合法的。依靠個人要看上百警報包括大量的假陽性結果提醒疲勞。最終,不知所措的安全團隊無視或忽略事件實際上合法的威脅。

為了有效地檢測和糾正威脅在今天的環境中,安全團隊需要找到一個更好的方法來處理和關聯大量的實時和曆史數據,檢測模式之外,存在預定義的規則,減少假陽性的數量。

加強與可伸縮的威脅檢測分析和人工智能

磚安全團隊提供一套新的工具應對大數據日益增長的挑戰和複雜的威脅。現有工具不足,磚統一分析平台與平台數據填補了空白的科學家和輕鬆地構建網絡安全分析師,規模,並部署在幾分鍾內實時分析和機器學習模型,導Beplay体育安卓版本致更好的檢測和修複。

磚補充現有威脅檢測工作具有以下功能:

  • 完整的企業知名度,雲計算和基於Apache火花,磚進行了優化處理大量的流媒體實時和曆史數據的威脅分析和審查。安全團隊可以查詢海量曆史數據拉伸幾個月或幾年過去,使檔案長期威脅,開展深法醫評論發現黑客留下的後門。安全團隊還可以整合所有類型的企業數據——SIEM日誌,雲日誌、係統安全日誌,威脅源等,為一個更完整的視圖的威脅環境。
  • 積極的威脅分析——磚允許安全團隊構建預測威脅情報與一個強大的、易於使用的平台,發展人工智能和機器學習模型。Beplay体育安卓版本數據科學家可以構建機器學習模型,更好的分數警報從SIEM工具減少評論家疲勞造成太多的假陽性。數據科學家還可以使用磚建造的機器學習模型,檢測異常行為,預定義的規則和已知的威脅模式之外的存在。
  • beplay娱乐ios協作調查——交互式筆記本和儀表板使數據科學家、分析師和實時安全團隊合作。多個用戶可以運行查詢,共享可視化,使評論在同一個工作區沒有打擾的繼續調查。
  • 成本效率——磚平台完全托管在雲的定價為大數Beplay体育安卓版本據處理而設計的。安全團隊不需要吸收的成本負擔建立和維護一個本土網絡安全分析平台或支付每GB的數據攝取和保留。Beplay体育安卓版本

財富100強公司如何使用磚和先進的網絡安全分析應對威脅

領先科技公司雇傭了一個大型網絡安全行動中心監控,每天數以萬億計的威脅信號進行分析和研究。數據流從不同的來源包括入侵檢測係統、網絡基礎設施和服務器日誌,應用程序日誌,總計pb大小。

當確定可疑事件,威脅反應小組需要運行查詢實時對大曆史數據集驗證的程度和有效性潛在的漏洞。跟上威脅環境的團隊需要一個解決方案的能力:

  • 大數據量在低延遲:在幾秒鍾內分析數以十億美元計的記錄
  • 正確的和一致的數據:寫部分和失敗不能出現在用戶查詢
  • 快速、靈活的當前和曆史數據查詢:安全分析人士需要探索pb的數據和多種語言(例如Python, SQL)

所麵臨的挑戰

花了一個二十人的團隊工程師超過6個月的時間來建立他們的遺產體係結構,包括各種數據的湖泊、數據倉庫ETL工具來滿足這些需求。即便如此,團隊隻能兩周的數據存儲在數據倉庫中由於成本,限製其向後看在時間的能力。此外,數據倉庫選擇無法運行機器學習。

解決方案

使用磚統一分析平台公司能夠把他們的新建築投入生產在短短兩周的五個工程師團隊。Beplay体育安卓版本

他們的新架構很簡單和性能。端到端延遲(秒到幾分鍾)和低威脅反應小組看到100 x查詢速度的改進/開源Apache火花拚花。此外,使用磚,團隊現在可以運行交互式查詢所有曆史數據——不隻是兩周價值,從而能夠更好的檢測威脅時間視野,開展深法醫的評論。他們還利用Apache引發機器學習獲得能力和先進的分析。

最終的想法

隨著網絡犯罪繼續發展他們的技術,網絡安全團隊需要發展他們如何檢測和防止威脅。大數據分析和人工智能為組織提供了一個新的希望尋求提高他們安全的姿勢,但是選擇合適的平台是成功的關鍵。Beplay体育安卓版本

下載我們的網絡安全分析解決方案簡單或者看重播的我們最近的網絡研討會加強與大數據威脅檢測和人工智能學習如何磚可以增強安全性。

免費試著磚
開始
看到所有Beplay体育安卓版本平台的博客的帖子
Baidu
map