1、内部威胁检测
在大数据的背景下,内部威胁对公司信息的机密性构成挑战。有权访问分析报告和仪表盘的恶意内部人员可能会向竞争对手泄露信息,甚至提供登录凭据进行销售。内部威胁检测,就是检查常见业务应用程序的日志,例如RDP、VPN、Active Directory 和端点。这些日志可以揭示值得调查的异常情况,例如意外的数据下载或异常的登录时间。
2、威胁搜寻
威胁搜寻,是主动搜索潜伏在网络中未被发现的威胁。这个过程需要经验丰富的网络安全分析师,利用来自现实世界的攻击、威胁活动的情报或来自不同安全工具的相关发现,制定关于潜在威胁的假设。大数据实际上可以通过发现大量安全数据中隐藏的表现来改进威胁追踪工作。作为提高大数据安全性的方法,威胁搜寻同时也会监控数据集和基础设施,搜寻受到威胁的工件。
3、事件调查
监控大数据日志和工具时会产生大量信息,而这些信息通常会出现在安全信息和事件管理(SIEM) 解决方案中。由于产生太多的信息,容易导致SIEM 解决方案出现误报,使分析师接收到过多的警报。所以在理想状态下,某种事件响应工具应该是可以为安全威胁提供上下文,从而实现更快、更有效的事件调查。
4、用户行为
分析用户行为分析比内部威胁检测更进一步,它提供了一个专用的工具集来监控用户在与其交互系统上的行为。通常,行为分析使用评分系统来创建正常用户、应用程序和设备行为的基线,一旦偏离基线就会发出警报。借助用户行为分析,我们可以更好地检测内部威胁和泄露的用户账户。
5、数据过滤检测
需要特别注意的是,未经授权的数据传输的风险,因为一旦发生数据泄露且是在可复制大量潜在敏感资产的大数据管道中,就给了犯罪分子可乘之机。检测数据泄露需要对出站流量、IP 地址和流量数据进行深入监控。防止数据泄露应密切关注来自代码和错误配置中发现有害安全错误的工具,以及数据丢失预防和下一代防火墙。同时也应该注重对员工进行相关数据安全的教育和意识提升。