RSA：业务智能也是一种安全智能

ZDNET安全频道 05月22日 编译： RSA副总裁、首席信息安全官Eddie Schwartz认为，企业正守着一个丰富的、但却被浪费的分析数据资源，而这些数据本可以用于提前警告在线攻击上。

Schwartz在接受ZDNet记者采访时表示，虽然日志、监控、防火墙和其他外围防御措施可以为企业提供丰富的信息，但是大多数是在出现故障之后使用的，攻击者已经获得了对他们网络访问的途径。

Schwartz问：“如今，大多数企业机构并没有对业务数据进行分析。他们从Windows服务器、防火墙和网络设备中得到安全日志，但是这些是否能告诉我在SAP系统上的一次交易是否有效?电子商务交易是否有效?”

Schwartz认为，提取来自服务器和网络设备的日志通常是纯粹的技术原因，大约20年前，很多管理员意识到他们之间有某种安全相关性。然而，他提出疑问，为什么企业将他们认为相关的安全信息与限制于这些日志，以及目前正在使用的各种安全信息和时间管理系统。

他说：“从安全日志中我们能看到的信息面是非常非常狭窄的，毕竟这不是业务数据。”

他呼吁更广泛地使用那行并不是以安全为重点的数据。事实上，他表示，这种类型的信心甚至没有必要一定是可识别的。

“让我们从集成所有信息开始，其中包括所有内容和不同类型动作的上下文，它是网络流量还是电子邮件。我们不用了解它是什么，但是它的确存在，而且是网络流量的一部分。”

收集这些信息的要点，在于构建一套针对业务的配置，能够迅速找出可能在攻击过程中出现的任何变化。

“据统计，这种配置对于企业机构来说就像是独一无二的指纹一样，而且对于一套业务流程甚至对于用户群组来说都是独特的。”

要想达到使用更多业务数据的阶段，不需要一个大规模的项目。我们可能会看到这样的厂商，企业系统逐渐将他们的数据转换成为一个类似大数据的信息系统，而且他相信，企业会不断投资以推动这个转变的过程。这将意味着，帮助企业了解为什么需要这种转变，谨慎地考虑最先应该获取哪些数据。

Schwartz表示，他并不认为所有人都能判断什么是最完美的模式。很多企业可能会选择使用有更多管理安全的服务，或者结合使用内部技术与其他服务提供商的服务。

“其他企业机构更多地正在进入一种混合的模式，允许服务提供商去做某些特定的事情，但是有些事情是他们自己必须要做的，不仅因为敏感性，而且还因为他们感觉只有他们才真正了解自己的业务。”

大数据可以用于向管理员提醒潜在的违规行为，或者正在发生的违规行为，另一方面，自动化这些系统将有助于创建自主防御的网络。不过，Schwartz认为要实现这个梦想还要很长一段时间。

“对于能够采取措施防止糟糕的事情发生的技术来说，它需要掌握指纹和业务的独特身份。这实现起来很难而且很复杂。”他这样说道，并且强调说，一旦各种威胁加速到一定程度上，可能需要由一些能够自我学习的计算机来实现这个目标。

“我的意思并不是说这是不可能实现的。我的意思是，由于数据量和所需处理能力，尤其是网络愈加接近于光速，我们正在离这个目标越来越远。”

即使这一天真的到来，企业可以使用所有信息去自动防御攻击者，他相信人们仍然需要信息安全专家的帮助。

“有某些关键的服务和关键的事情让技术与他们联系在一起，我希望人们可以参与其中掌握控制权。”