大数据——下一代安全引擎

2014年3月22日乌云平台披露：携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

索尼影业2014年11月24日被黑客入侵，内部的财务文档、员工信息，甚至未上映的影片和内部往来邮件均被曝光，影片“刺杀金正恩” 被迫下线。

2014年12月25日，有超过13万条12306用户信息遭泄露，内容包括用户的明文密码、身份证号码、电子邮箱、手机号码等。

摩根大通8月份的黑客入侵事件造成了7600万个个人账户和700万个小企业账户的户名、地址、电话和电子邮件被泄露的严重后果。

毫无疑问，以上事件仅仅是冰山一角，也只是暴露在众人眼中的沧海一粟，更多未知的威胁正在悄悄蔓延。而当数据信息频频遭遇“威胁”的今天，如何利用这些数据与“威胁”进行一次快速有效的抗争？成为我们今天重点讨论的课题。

熟悉安全领域的人都知道，当下，来自黑客以及黑客组织的攻击手段复杂多变，传统的防御手段渐渐不再奏效，那些基于黑名单的方式跟不上安全威胁的变化，而基于白名单的方式误报率频发。

传统的安全防御在复杂多变的海量数据面前已经力不从心，不管是从存储能力、处理性能、查询功能到分析能力等各个方面都已经无法应对当下的挑战。

安全已经渐渐从“防御为核心”走到了“以数据为核心”

瀚思（HanSight）创始人兼CEO高瀚昭先生坚信：唯有通过海量数据挖掘学习，才能使企业适应当下复杂多变的安全威胁，并最终实现“主动智能”的信息安全战略。

“数据驱动安全”是瀚思一直秉承的信念，瀚思坚持通过收集、分析与展现海量数据来帮助企业、云中心获得更好的全局可见性和安全智能，从而抵御高级的网络攻击和内部人员的监守自盗。

瀚思（HanSight）的目标

瀚思（HanSight）产品架构图示

目前，瀚思下一代安全信息分析系统已经具备：

未知威胁和内部异常行为侦测能力

安全事件取证和上下文检索能力

全面安全态势展现和长周期分析报告能力

以瀚思实施完毕的招商银行总行客户为例，该银行已部署了安全信息与事件管理系统（SIEM）和Web应用防火墙（WAF）来进行网银日志的收集、分析以及系统安全的保障。

然而从实际应用效果来看，仍然有以下问题让运维人员困扰不已：

SIEM基于传统的关系型数据库，根本无法存储和处理银行每天所产生的海量日志信息，也无法进行有效的检索和分析；

WAF已存在超过20年，受限于传统的理念和使用方式，对于银行系统对大数据安全方面的高要求，也有点力不从心，急需新的方法来辅助安全运维。

正是由于以上问题，银行需要一套基于海量数据存储和处理技术的安全信息和事件管理平台，最终达到统一的安全信息时间收集和分析并达到安全合规的目的。

瀚思（HanSight）为招商银行提供了基于大数据技术、机器学习和算法分析为基础的下一代大数据安全分析平台。通过部署，瀚思（HanSight）帮助招商银行实现了对旧有安全信息与实践管理系统的升级改造，顺利完成了每天海量日志信息的收集和存储，同时对关键字段进行实时的 索引，方便运维人员快速的定位安全威胁。

瀚思（HanSight）为某银行客户采用的部署架构

通过一段时间的运行，该银行原来的海量数据无法通过关系数据库存储和全文检索等问题都得到了解决。不仅让数据保存扩展到了3年以上， 而且关键字查询的响应缩减到可在几秒内完成。

在安全方面，基于静态已知规则的传统 WAF 无法有效应对越来越多的新型攻击，通过瀚思下一代安全产品可以实时有效地分析并捕获未知威胁，从而帮助安全运维人员主动规避可能带来的风险。

从部署到现在，我们已经帮助用户发现及溯源超过20次的风险、发现多起异地可以行为以及凌晨的DDos攻击等重大安全问题及隐患。