大数据作为时下最火热的IT行业的词汇,围绕大数据的商业价值的利用逐渐成为行业人士争相追捧的利润焦点,大数据平台、大数据分析技术也应运而生。而随着大数据平台和分析技术在IT行业中地位不断提高的逐步凸显,也引起了越来越多的黑客注意和各种攻击。从Oracle、SQL Server等商业数据库到MongoDB、MySQL等开源数据库,蔓延到Hadoop、CouchDB等大数据平台,黑客攻击活动日渐肆虐。
为期4天的2018中国国际大数据产业博览会(以下简称“数博会”)在贵阳圆满落下帷幕。作为全球首个大数据主题博览会,数博会至今已成功举办三届,并在2017年正式升级为国家级博览会。本次博览会以“数化万物 智在融合”为主题,突出“全球视野、国家高度、产业视角、企业立场”的办会理念,把大数据技术、大数据产业提升到一个全新的高度。
面对日益严峻的大数据平台网络安全管理挑战,科来认为:当前一系列的安全产品和服务的安全“防控能力”的核心是“预防,属于对“知道的已知威胁”进行防控。对“不知道的未知威胁”却缺乏感知能力。其次,相比外部威胁,来自内部的威胁更值得关注。这些内部威胁更容易能够绕过防控体系,而且传统的安全审计系统针对的是静态的、少量的数据,建立的审计规则也是有很多欠缺。这使得包括非正常配置操作,非正常访问权限以及非正常数据出口等内部异常行为事前难以预防,事中很难被察觉,事后又缺乏取证的数据。此外,大数据系统能够直接为业务部门提供有效支撑,甚至是其主要工作方式之一。因此,大数据系统安全运营的一个重要目标是确保整个大数据系统具有支持业务稳定、持续运行的性能。然而,孤立的监控应用和网络的性能参数,并不能反应整个系统的实际运行性能和状态。
应对如此严峻的安全和运维挑战,科来的技术思路是:运维和安全管理平台需要具备数据流向可视,流量构成可视的能力,感知业务场景,就能够区分“正常行为”和“异常行为”;任何异常行为都会产生网络流量,与正常网络访问所产生的流量是不一样。基于流量数据的安全分析成为发现未知威胁的基础;基础设施运行正常不能代表运行其上的“业务”正常,网络连接会话数据能够直接体现“业务” 服务可用性和质量;通过回溯历史数据,我们能对我们的安全体系的有效性进行评估,验证安全告警真实性,也能还原“间歇性故障”现场,针对性的采取措施。
基于以上资料,科来总结了以下五项措施完成大数据平台网络安全需求:
第一、大数据平台数据流可视
第二、大数据平台威胁感知
第三、大数据平台性能监控,网络连接会话数据
第四、回溯分析,保存操作行为原始流量,并能够快速回查定位
第五、主动智能的响应处置