在數(shù)年前���,開始討論虛擬化時(shí)����,就注定了云的解決方案的誕生�,而當(dāng)云的解決方案逐漸成熟時(shí)�����,企業(yè)或是用戶開始將資料往云端存放時(shí)�,也慢慢的導(dǎo)致大數(shù)據(jù)時(shí)代的來(lái)臨。
目前存取資料的裝置��,慢慢的從電腦�����,開始往移動(dòng)裝置�����,搭捷運(yùn)時(shí),我們看到越來(lái)越多人習(xí)慣拿出手機(jī)���,或是平版電腦���,開始閱讀,或是瀏覽相關(guān)的資訊����,這意味著資料的存取從以往的定時(shí)定點(diǎn)到目前的隨時(shí)隨地,這是一個(gè)演變��。
而當(dāng)我們開始使用 gmail��、facebook��、google 的時(shí)候���,似乎我們可以無(wú)止境的將各種資料上傳��,隨時(shí)可以調(diào)閱�,瀏覽等等����,這也表示在云端后端的數(shù)據(jù)���,已經(jīng)大量的成長(zhǎng)。
在這狀況下的安全呢?這些大數(shù)據(jù)下的服務(wù)�,不論公開服務(wù)也好,或是企業(yè)的各種資料也好����,一旦開放存取,就開始存在安全的議題�,簡(jiǎn)單來(lái)說(shuō),從使用者的認(rèn)證問(wèn)題來(lái)保護(hù)使用者�����,一直思考如何保護(hù)這些包括敏感或是不敏感的個(gè)人資料等等���,這個(gè)議題也開始逐漸發(fā)酵。
當(dāng) 我們回歸到基本的元素時(shí)��,我們會(huì)發(fā)現(xiàn)當(dāng)下的各種攻擊�,百分之 90% 均透過(guò)網(wǎng)路達(dá)成,網(wǎng)絡(luò)已經(jīng)變成攻擊里面不可或缺的媒介�����。是的,當(dāng)某個(gè)企業(yè)被 APT 攻擊����,大量取得資料后,分析的結(jié)果���,惡意程式可能利用郵件����,透過(guò)網(wǎng)路傳遞至企業(yè)內(nèi)部�,日前吵的沸沸揚(yáng)揚(yáng)的網(wǎng)軍攻擊事件等等,大部分均以網(wǎng)路攻擊有關(guān)�。
大數(shù)據(jù)下的安全所面臨的挑戰(zhàn)有:
1.后臺(tái)系統(tǒng)的復(fù)雜性
在數(shù)據(jù)之上,往往有多種復(fù)雜的應(yīng)用程式支撐�����,因此在於安全的考量上更為復(fù)雜�����。用戶可能採(cǎi)用單存的 3 tier 架構(gòu)�,或是採(cǎi)取更復(fù)雜的 Web Service 的服務(wù)架構(gòu)等等�。無(wú)論何種架構(gòu)���,主要的目的均在於對(duì)大量數(shù)據(jù)進(jìn)行演算加值�,并且提供各種介面或是結(jié)果給與使用者��。
2.多方的網(wǎng)路存取
盡管后臺(tái)的應(yīng)用程式較為復(fù)雜���,對(duì)於使用者或而言����,最簡(jiǎn)潔的存取方式便是透過(guò)網(wǎng)路存取相關(guān)的服務(wù)�,相對(duì)於前端存取網(wǎng)路的設(shè)備而言,通常會(huì)盡量包含允許各種不同 的裝置存取服務(wù)�����。然而對(duì)於入侵者而言�����,這產(chǎn)生了一個(gè)極為便利的攻擊方式�����,也就攻擊者亦能透過(guò)各種路徑嘗試攻擊整體服務(wù)���,進(jìn)而探索系統(tǒng)漏洞而進(jìn)行深入攻擊�����。
3.即時(shí)監(jiān)控與回應(yīng)
一旦大數(shù)據(jù)開始藉由服務(wù)提供給各種使用者�,系統(tǒng)就開始產(chǎn)生各種的變化����,包括數(shù)據(jù)的變化,以及各種應(yīng)用的變化�����。在這種狀況下����,安全的場(chǎng)景也會(huì)跟隨著變化,如是 否有人對(duì)應(yīng)用進(jìn)行字典攻擊��,阻斷是攻擊等等��。當(dāng)大量的資料開始移動(dòng)時(shí)��,以及隨著使用的量增加時(shí),即時(shí)的監(jiān)控將會(huì)更加艱辛�����,主要是攻擊者更容易夾雜在正常使 用者之間��,對(duì)系統(tǒng)發(fā)動(dòng)攻擊���。這會(huì)讓系統(tǒng)管理人員疲於奔命����,并且增加偵測(cè)的困難度���,更遑論採(cǎi)取及時(shí)的對(duì)策��。
在這些狀況下����,當(dāng)我們思索著大數(shù)據(jù)下的安全時(shí)���,就可以回歸到最基礎(chǔ)面,對(duì)于整體系統(tǒng)進(jìn)行檢測(cè)并且加強(qiáng)防御措施��。
惠普安全建議可透過(guò)底下三個(gè)基礎(chǔ)方向考慮大數(shù)據(jù)下的安全:
1.應(yīng)用程式安全
數(shù)據(jù)一般并不會(huì)直接被使用,而是透過(guò)應(yīng)用程式進(jìn)行展示�,從保護(hù)數(shù)據(jù)的觀念開始,需要對(duì)前端的應(yīng)用進(jìn)行強(qiáng)化�,因此企業(yè)可以在應(yīng)用程式上線前,中����,后,對(duì)各種開發(fā)的應(yīng)用程式進(jìn)行安全檢測(cè)�,同時(shí)也可以對(duì)已經(jīng)上線的相關(guān)網(wǎng)頁(yè)應(yīng)用程式定期強(qiáng)化檢測(cè)。
透過(guò)應(yīng)用程式的安全檢測(cè)���,可以讓企業(yè)對(duì)於使用數(shù)據(jù)的應(yīng)用程式提供相對(duì)應(yīng)的基本安全檢測(cè)���,并且做到資安的第一步。
2.網(wǎng)路安全防御系統(tǒng)
在應(yīng)用程式之后的第二道關(guān)卡事實(shí)上便是網(wǎng)路����。企業(yè)提供服務(wù)時(shí),相對(duì)的提供各種的網(wǎng)路存取方式�,企業(yè)可以考慮由強(qiáng)化網(wǎng)路安全開始做起,譬如在以往�,僅在出口處 部署網(wǎng)路安全防御設(shè)備的想法,擴(kuò)充到內(nèi)部的系統(tǒng)架構(gòu)中,也就是在內(nèi)部也部署新一代的網(wǎng)路防御系統(tǒng)�,有效的防御各種來(lái)至於網(wǎng)路的攻擊。
3.智能安全分析系統(tǒng)
當(dāng)大數(shù)據(jù)來(lái)臨時(shí)��,企業(yè)會(huì)與時(shí)漸進(jìn)的開始部署各種安全措施����,智能安全分析系統(tǒng)可作為企業(yè)的安全大腦,透過(guò)各種關(guān)連分析����,判斷是否可能遭受相關(guān)的攻擊并且協(xié)助企 業(yè)提前進(jìn)行反應(yīng)。智能安全分析系統(tǒng)可以讓企業(yè)由原來(lái)的被動(dòng)是偵測(cè)�,提高為主動(dòng)是挖掘,甚至利用歷史的資料進(jìn)行威脅分析���,藉此可以提早發(fā)現(xiàn)各種潛在可能的安全威脅�。
大數(shù)據(jù)下的安全議題���,并非是一個(gè)封閉而且可透過(guò)單一解決方案達(dá)成的問(wèn)題���,各個(gè)企業(yè)可以根據(jù)本身的數(shù)據(jù)性質(zhì),以及使用情境����,搭配相關(guān) 不同的解決方案�。譬如����,在各種主機(jī)上�����,可能依然存在有 SSO 的機(jī)制��,可能依然會(huì)有主機(jī)安全解決方案���,防毒解決方案等等�。因此��,建議用戶從基礎(chǔ)的防御開始�����,譬如基本的應(yīng)用程式安全���,以及基礎(chǔ)的網(wǎng)路安全開始出發(fā)��,接 著���,再透過(guò)智能安全分析系統(tǒng)來(lái)協(xié)同運(yùn)作各方的安全防御解決方案�����。
