Следите за новостями

Цифра дня

41% казахстанцев столкнулись с инцидентами кибербезопасности

RSA: будущая безопасность — в Больших Данных

Анализ больших объемов информации позволит распозна­вать скрытые атаки еще до нанесения ими вреда, уверены в компании

30 января 2013 08:45, Computerworld.kz
Рубрики: Мир

«Вот что отныне будет дополнительно поставле­но на службу информационной безопасности», — заявил Сэм Карри, главный технолог компании RSA, на обсуждении доклада, посвященного инте­грации анализа Больших Данных в процессы обес­печения безопасности. Отвечая на вопрос, как именно RSA будет осуществлять новую страте­гию, Карри заявил, что уже скоро появится инфор­мация о соответствующих новых продуктах и услу­гах компании. «RSA делает ставку на Большие Данные», — подчеркнул он.

Один из строительных блоков новой инициативы RSA уже на месте: в конце прошлого года она при­обрела компанию Silvertail Systems, разработчика средств веб-аналитики и поведенческого анализа.

В программном докладе RSA высказывается мне­ние, что поставщики средств безопасности, кото­рые не планируют пользоваться Большими Дан­ными, могут уже сейчас «собирать вещи» и ухо­дить с рынка.

«В ближайшие два года анализ Больших Данных изменит положение дел в большинстве сегментов рынка средств информационной безопасности, в том числе инструментов управ­ления информацией и событиями безопасности (Security Information and Event Management, SIEM), сетевого мониторинга, аутентификации и авторизации поль­зователей, управления идентификацией, распознавания мошенничеств, а также руководства, управления рисками и контроля соответствия нормативным требо­ваниям, — говорится в докладе. — В течение трех лет инструменты анализа дан­ных эволюционируют и начнут предоставлять высокоразвитые средства прогно­зирования и автоматизированные функции контроля, работающие в реальном времени». Такие средства, полагают в RSA, станут основой защиты от мошенни­честв и скрытых кибератак, направленных на хищение критически важной информации.

Сегодня уже целый ряд компаний, например Red Lambda и Palantir, предлагают инструменты и сервисы, ставящие анализ больших объемов данных на службу безопасности. В 2013 году платформу безопасности, основанную на анализе Больших Данных, обещает предложить начинающая компания CrowdStrike.

Как объясняют в RSA, использование Больших Данных для нужд безопасности состоит в сборе огромных объемов информации в режиме реального времени для выстраивания профилей пользователей и систем с целью «выявления ано­мальной активности или поведения, указывающего на глубинные проблемы».

Сегодня благодаря возросшей вычислительной мощности и усовершенствовани­ям систем хранения, СУБД и аналитических интрументариев уже не существует такого понятия, как слишком большой срез данных, уверены в RSA. Любая ин­формация, включая данные систем полнообъемного сохранения пакетов, ленты сообщений о внешних угрозах, потоки щелчков на сайтах, календари Outlook и ак­тивность в социальных сетях, может использоваться для аналитики в интересах безопасности.

В RSA считают, что компаниям следует готовиться к приходу Больших Данных в информационную безопасность: нужно заранее определиться, как создать цен­трализованное хранилище, «где все относящиеся к безопасности данные будут доступны для аналитических запросов: это будет либо объединенный репозито­рий, либо, что более вероятно, набор хранилищ с перекрестными ссылками друг на друга».

Большие Данные будут описывать «события вашей среды», но для анализа по­надобятся не только данные самих систем безопасности, то есть межсетевых экранов и т. д., полагает Карри: «Нужны будут также данные из CRM, систем управления командировками, используемых облачных сервисов и прочих корпо­ративных приложений». По информации о служащих из кадровых систем, указы­вает Карри, например, можно будет определить попытки использовать чужие личные данные.

По словам Карри, общая цель предлагаемой трансформации — продолжить раз­витие средств безопасности, чтобы выйти за рамки SIEM и еще на этапе проекти­рования закладывать в инструменты функции накопления и анализа больших по­токов данных.

«SIEM — это просто большие репозитории, которые нередко создаются лишь ис­ходя из нормативных требований, — считает Карри. — Большие Данные потен­циально способны дать возможность распознавать скрытые атаки еще в пери­од, пока их устроители только пытаются найти путь к важнейшим данным и пла­нируют их извлечение. Сегодня подобные атаки обычно остаются нераскрыты­ми, но высокоразвитые методы анализа данных в конечном счете позволят их побеждать».