Big Data w służbie bezpieczeństwa

Firmy szukają nowych sposobów na wykorzystanie potencjału tkwiącego w danych. Jednym z pomysłów jest zaprzęgniecie analityki Big Data do wykrywania anomalii wskazujących na włamania do systemów informatycznych. Na rynku pojawiły się już pierwsze produkty, oferujące takie możliwości.

Takie metody znajdują już zastosowanie w praktyce. Instytucje finansowe śledzą transakcje finansowe w celu wykrywania skradzionych kart kredytowych – złodzieje z reguły dokonują niestandardowych zakupów. Anomalie w operacjach realizowanych przy pomocy kart wykrywa się, stosując właśnie analitykę Big Data. To samo można zrobić w sieciach informatycznych. Analizując dane, da się wykryć anomalie wskazujące na incydenty bezpieczeństwa.

Analityka Big Data nie ma zastąpić istniejących zabezpieczeń, jak firewalle i systemy IPS. Choćby z tego względu, że zanim takie rozwiązanie zacznie działać, trzeba zgromadzić dużą ilość danych potrzebnych do analizy. Ich wartość polega jednak na tym, że pozwalają wykryć włamania, które inaczej pozostałyby niezauważone. Ponieważ atak na firmową sieć jest jedynie kwestią czasu, mogą to być bardzo wartościowe informacje.

Zobacz również:

Tak to działa

Jednym z pionierów w tym obszarze jest firma KEYW, która w pierwszej kolejności oferowała swoje systemy instytucjom rządowym. Ze względu na znacznie większe budżety, stać te podmioty na zamówienie bardziej zaawansowanych produktów. Jednakże KEYW planuje sprzedaż podobnego systemu również dużym klientom korporacyjnym. Ma być jednak nieco okrojony funkcjonalnie, ale jednocześnie dostoswany do możliwości finansowych potencjalnych nabywców.

Im większa organizacja, tym większa przydatność technologii Big Data w zabezpieczeniach. Ta zależność wynika z tego, że w dużych firmach zróżnicowanie infrastruktury IT jest największe i powstaje konieczność zapewnienia łączności pomiędzy różnymi sieciami. Jedynym sposobem, aby uzyskać obraz całości tego, co dzieje się w sieci, jest analiza bardzo dużej ilości danych.

Ilość przechowywanych danych – głównie rejestrów (logów) z firewalli i innych urządzeń sieciowych – może być rzeczywiście bardzo duża. Jest to konieczność, ponieważ wykrycie niektórych typów anomalii wymaga analizy danych z wielu tygodni. Są nawet typy danych, które warto trzymać 6 miesięcy, zanim będzie można je skasować. Tak naprawdę decyzja o czasie przechowywania danych zależy przede wszystkim od tego, jaką przestrzenią dyskową dysponuje użytkownik. Eksperci zalecają, żeby dane trzymać najdłużej, jak się da.

Gdy anomalia zostanie wykryta, następnym krokiem jest ustalenie, czy alert został faktycznie spowodowany przez podejrzane zdarzenie czy jest jedynie przypadkowym odstępstwem. Zawsze może się bowiem zdarzyć, że użytkownik wykona jakąś dziwną operację. Do odpowiedzi na to pytanie służą już inne mechanizmy niż Big Data. Stosuje się narzędzia używane w informatyce śledczej, aby namierzyć ślady, które mógł pozostawić ewentualny intruz. Umożliwiają one ustalenie, jaką drogą intruz przedostał się do firmowej sieci, do których zasobów uzyskał dostęp i czy wykradł jakieś dane.

Po zebraniu wszystkich informacji potrzebnych do określenia, jaki rodzaj włamania nastąpił, system uruchomi funkcje usuwające zagrożenie. Taka funkcjonalność jest wbudowana w system oferowany przez KEYW. Według przedstawicieli firmy potrafi on naprawić szkody powstałe w wyniku 80 % ataków. Opis nowych zagrożeń jest przekazywany do centralnego serwera KEYW, który następnie udostępnia je wszystkim użytkownikom.

W mniejszej skali

Rozwiązania wykorzystujące analitykę Big Data są bardzo kosztowne. Wspomniany system firmy KEYW kosztuje sześciocyfrową sumę płatną w dolarach w przypadku typowego wdrożenia. Można jednak sięgnąć po rozwiązania mniejszych firm, które również stosują Big Data w zabezpieczeniach. Przykładem jest fireAMP firmy SourceFire, który pobiera dane z urządzeń końcowych i analizuje je w chmurze. To właśnie w urządzeniach końcowych działa szkodliwe oprogramowanie umożliwiające przełamanie zabezpieczeń sieci.

W mniejszych firmach urządzenia końcowe generują znacznie mniejsze ilości danych niż urządzenia sieciowe w dużych korporacjach. Jednak analiza tych danych zebranych w jednym miejscu umożliwia zidentyfikowanie trendów, które mogą wskazywać na atak. Wśród różnych technik zastosowanych w Sourcefire warto wymienić analizę dużej liczby znanych zaufanych i szkodliwych plików z wykorzystaniem algorytmu samouczącego. Tworzy on reguły, które służą następnie do rozpoznawania groźnych plików.

Rynek reaguje na potrzeby

Jest jeszcze kilku producentów, którzy już analizują zbiory Big Data w celu poprawy bezpieczeństwa. Cześć z nich to specjaliści od analityki, a cześć to firmy zajmujące się zarządzaniem rejestrami zdarzeń (logami). Znajdziemy w tej grupie IBM, RSA oraz mniej znane FortScale i LogRhythm.

IBM oferuje Security Intelligence with Big Data, które jest rozwiązaniem analitycznym zbudowanym z dwóch komponentów: QRadar Security Intelligence Platform oraz Infosphere BigInsights. Ten drugi bazuje na Hadoopie, a służy do zarządzania i analizowanie dużych ilości nieustrukturyzowanych danych.

RSA oferuje kilka produktów wykorzystujących analitykę Big Data w obszarze bezpieczeństwa. Są to Silver Tail, który służy wykrywaniu atakach webowych, Vulnerability Risk Manager do zarządzania podatnościami oraz RSA Security Analytics wykrywający i badający zagrożenia w firmowej infrastrukturze IT.

Fortscale składa się z dwóch warstw: klastra Hadoopa, który można zintegrować z różnymi repozytoriami danych oraz systemu SIEM (Security Information and Event Management). Z kolei rozwiązanie LogRhythm to platform łącząca szereg funkcjonalności: zarządzanie logami, monitorowanie integralności plików, analitykę oraz mechanizmy informatyki śledczej.


TOP 200