采用开源应对数据安全的问题

当前安全工具并不能应对所有的数据的问题：OpenSOC呼吁大数据技术和开源技术。

几年前，行业媒体DarkReading的执行编辑凯利•杰克逊•希金斯表示安全专家最想知道，但不想承认的事，“有越来越多的宿命感：它不再是如果或当你遭受过黑客攻击，而其前提是假设你必须已经被攻击，重点是尽量减少损害。”

然而这不是数据中心运营商所希望听到的。

不要放弃

技术先进的对手显然有能力战胜当前最佳实践安全系统，这可能助长人们这种无能为力的感觉。然而，思科公司为了其信用并不准备放弃。思科服务公司2014发布《托管威胁防御》旨在保护客户免受已知的入侵，零日攻击和高级持续性威胁。

思科公司产品安全事件响应团队（PSIRT）首席工程师奥马尔•桑托斯表示，为了使托管威胁防御具备可行的威慑力，思科制定了以下规则（博客文章）：

•能够捕获完整的数据包级数据，并提取协议元数据，以创建每个客户网络的独特配置文件。

•全球网络安全运营中心将获得黑客的活动警报

•该技术将警报数据，企业的资料，以及思科的威胁情报结合在一起，创建一个行动计划

几乎同时，思科分析师注意到，报警数据需要处理量远远超过他们的设想。其服务的客户数据泛滥，其中包括一些大型企业组织。分析师不能从简单的日志条目分离出重要的信息。

现有的方法太慢

由于捕获的数据量，对手能够利用一些时间来分析英特尔，并制定响应所需的长度。“如果产生一个突破口，泄露敏感的客户信息，或知识产权受到损害，企业业的声誉、资源、知识产权则面临更大的风险。”对于思科公司这个博客文章，思科安全解决方案前经理人巴勃罗•萨拉萨尔解释说。“快速识别和解决问题的关键，但传统的方法来安全事故的调查可能会很耗时。”

据萨拉萨尔传统方法需要研究：

•从安全事故和事件管理报告（以及运行批查询的其他情况下的其他遥测源）

•外部威胁情报来源，以揭露主动警告潜在的攻击

•为了确定背景下的网络取证工具全包捕获和历史纪录

为了应对数据过载，以及为客户提供更好的服务托管威胁防御，思科公司和Hortonworks公司开发了安全分析框架OpenSOC。

分析平台

OpenSOC采用大数据分析和机器，提供了一个应用程序异常检测和事件取证平台，“通过集成在Hadoop生态系统，如Storm、Kafka,以及Elasticsearch；OpenSOC提供一种整合能力的可扩展的平台，如全方位捕获索引，存储，数据丰富，流处理，批量处理，实时搜索，以及遥测聚集。”萨拉萨尔说，“它还提供了一个集中的平台，使安全分析师检测和快速应对先进的安全威胁。”

OpenSOC关键要素

为了将原始数据转化为可操作的信息，尽快，萨拉萨尔表示OpenSOC开发团队专注于三个关键要素：

•语境

企业的首要任务是管理捕获的大量数据。“OpenSOC摄取的数据并将其推送至各个处理单元的先进计算和分析，提供安全保护的必要环境和高效的信息存储能力，”萨拉萨尔写道。“它提供可视性和成功的调查，修复和取证工作所需的信息。”

•实时

分析数据与实时数据一样重要，搞清楚什么是可操作的数据。这意味着，在大规模应用威胁智能感知系统，地理定位，以及DNS信息的收集的数据。如果它能工作，分析师可以根据准确及时的信息做出决定。

•集中视角

如果没有一个可以理解的格式，可以快速准确地获得正确的信息。“该接口呈现出了威胁情报和丰富的数据，在一个单一的页面发布警告摘要。”萨拉萨尔补充说。“先进的搜索功能和完整的数据包提取工具可用于调查，而无需在多个工具之间进行周转。”

简单地说，萨拉萨尔指出的是，通过使用OpenSOC，安全分析师可以通过一个单一的工具浏览他们的重要数据，并避免艰难应对海量的非结构化数据。“它可以根据采集和查看任何遥测，无论是专门的医疗设备或销售设备的定制点，”萨拉萨尔建议说，“通过利用Hadoop，OpenSOC还具有积木规模的数据收集、存储量，并分析了基于网络的需要。”

一个开源项目

2014年，思科和Hortonworks公司发布开源的OpenSOC。不久后，该OpenSOC项目启动，“该OpenSOC项目是一个协作开发项目，致力于提供一个可扩展的先进的安全分析工具。”OpenSOC项目网站上表示，“ApacheHadoop框架具有坚实的基础，并重视以高品质社区为基础的开放源码开发。”

目前OpenSOC框架提供以下功能：

•用于连接OpenSOC扩展和解析器监视任何遥测源

•为任何遥测数据流扩展充实框架

•在任何遥测数据流中，异常检测和实时规则为基础的警报

•Hadoop支持的存储遥测数据流，可自定义保留时间

•由弹性搜索支持的遥测数据流的自动实时索引

•遥测相关和SQL查询能力以支持Hive存储在Hadoop中的数据

•ODBC/JDBC兼容，并与现有的分析工具整合

•设计规模为处理每秒数百万的消息

这是那些参与OpenSOC项目，该框架将继续发展，提高组织应对安全事件响应能力。为此，该项目有以下目标：

•要为高级安全分析工具的发展提供了一个协作的开源社区

•鼓励公开交流，以改善其他功能和鉴定的不足之处

•识别功能的增强以提高OpenSOC

开放式SOC是一个集成了安全工具、大数据捕获和机器学习的开源项目。然而，为了应对黑客攻击，该项目是一项正在进行的工作，OpenSOC项目成员将加强建设与发展，并实施支持帮助。

来源：机房360

免责声明：本新闻资讯仅代表原作者个人观点，与本站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。