为什么数据保真对企业网络安全至关重要?

日期:2017-8-16作者:Char Sample

【TechTarget中国原创】

《牛津词典》公布的2016年度英文词汇是“post-truth(后真相)”,后真相环境使我们每个人质疑我们接收的数据,这种环境是认知攻击的结果——这个术语也被称为脑攻击。

认知攻击历来与政治或金融环境有关,但更大的数据保真问题存在所有环境中。这种现象的出现主要有几个原因,我们有必要探讨这些因素,因为它们可预测潜在解决方案的成功或者失败。这些因素有助于确定确保数据保真的问题,并最终明确如何解决这个问题。

首先,我们必须考虑数据在环境中的作用。数据代表连接技术和人类组成部分边缘的实体或胶合剂。虽然我们在人类和技术领域对数据已经进行了大量研究,还有人机界面研究,但数据的实际价值大体仍未得到验证。

数据的价值是技术和人类问题。在技术方面,完整性和隐私性可确保数据的传输以及静态数据的维护;然而,简单地捕获数据并确定数据价值是不够的。数据存在于环境中;因此,为了确定数据的价值,必须在环境中理解数据,这个背景环境涉及数据何时被创建。

数据保真和网络安全

当讨论网络安全数据时,根据数据的位置和类型的不同,创建数据的环境会有所不同。以入侵检测系统(IDS)警报为例,IDS警报可发生在网络(线路)或者实际主机中,在这两种情况下,处理警报的软件信任警报。

然而,实际事件可能与报告事件不符。除了事件信息外,可能还有内存使用情况和CPU循环次数等其他环境变量,围绕该事件的背景信息可提供必要的数据以确保事件数据的保真度。

在IDS数据的情况下,如果网络IDS系统称所有连接都正常,但流量会话看起来比正常情况多,或者连接数量明显超出正常水平,那么我们可以推断存在异常情况。

目前来看,这与基本的异常检查没有太大区别。不过,当将这些数据与基准数据的正常方差进行比较,或者将这些数据与现有安全信息事件管理(SIEM)数据比较时,便会发现差异,我们则可质疑SIEM数据的保真性。

接下来,考虑涉及主机的情况。文件系统也许仍然保持可接受的改变,但正常进程的时间超过正常情况,并使用额外的CPU周期。在这种情况下,与前面的例子一样,这说明环境中发生了扰动。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

企业安全风险管理>更多

  • 在云中添加安全管理控制层

    企业战略集团(Enterprise Strategy Group)分析师Jon Oltsik认为,许多网络安全专业人员在自己网络上安装管理服务器,以避免出现破坏性配置错误。

  • 802.11ax如何防御IoT安全漏洞?

    IEEE 802.11ax将更好地支持物联网(IoT)。那么,它是否会改善IoT安全性?IEEE 802.11ax是否可防御像最近的Netgear路由器漏洞这样的问题?

  • 主动防御:拥抱数字化转型的安全未来

    “主动防御”的安全新思路应用到越来越多的企业中。瑞数信息与IDC携手发布数字化转型安全白皮书,帮助用户在确保关键业务得到安全保护的同时,能够更加从容地利用数字化转型优势,驾驭数字的力量。

  • 云栖大会前夕:阿里云安全来了场神秘发布

    国庆即来,而国庆之后即是一年一度的杭州云栖大会,在距大会不到两周的节点上,一场以“云上安全 中国力量”的阿里云安全发布会在京神秘召开,更有神秘的“幕后智多星”首次公开亮相……

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
【TechTarget中国原创】

《牛津词典》公布的2016年度英文词汇是“post-truth(后真相)”,后真相环境使我们每个人质疑我们接收的数据,这种环境是认知攻击的结果——这个术语也被称为脑攻击。

认知攻击历来与政治或金融环境有关,但更大的数据保真问题存在所有环境中。这种现象的出现主要有几个原因,我们有必要探讨这些因素,因为它们可预测潜在解决方案的成功或者失败。这些因素有助于确定确保数据保真的问题,并最终明确如何解决这个问题。

首先,我们必须考虑数据在环境中的作用。数据代表连接技术和人类组成部分边缘的实体或胶合剂。虽然我们在人类和技术领域对数据已经进行了大量研究,还有人机界面研究,但数据的实际价值大体仍未得到验证。

数据的价值是技术和人类问题。在技术方面,完整性和隐私性可确保数据的传输以及静态数据的维护;然而,简单地捕获数据并确定数据价值是不够的。数据存在于环境中;因此,为了确定数据的价值,必须在环境中理解数据,这个背景环境涉及数据何时被创建。

数据保真和网络安全

当讨论网络安全数据时,根据数据的位置和类型的不同,创建数据的环境会有所不同。以入侵检测系统(IDS)警报为例,IDS警报可发生在网络(线路)或者实际主机中,在这两种情况下,处理警报的软件信任警报。

然而,实际事件可能与报告事件不符。除了事件信息外,可能还有内存使用情况和CPU循环次数等其他环境变量,围绕该事件的背景信息可提供必要的数据以确保事件数据的保真度。

在IDS数据的情况下,如果网络IDS系统称所有连接都正常,但流量会话看起来比正常情况多,或者连接数量明显超出正常水平,那么我们可以推断存在异常情况。

目前来看,这与基本的异常检查没有太大区别。不过,当将这些数据与基准数据的正常方差进行比较,或者将这些数据与现有安全信息事件管理(SIEM)数据比较时,便会发现差异,我们则可质疑SIEM数据的保真性。

接下来,考虑涉及主机的情况。文件系统也许仍然保持可接受的改变,但正常进程的时间超过正常情况,并使用额外的CPU周期。在这种情况下,与前面的例子一样,这说明环境中发生了扰动。

IoT环境中的数据保真

在其他情况下,环境可能看起来正常,但对象或警报可能已经改变,这表明可能存在虚假警报;这是异常检测系统的常见问题。在这种情况下,通过将对象和环境变量耦合在一起,我们可潜在减少误报数量。最低限度的情况下,我们可更好地了解误报问题,而不会导致漏报。

同时,收集必要的环境变量需要深入了解各种环境。当应对物联网时,这个问题变得相当复杂。虽然实际嵌入式设备环境很简单,但主机环境的多样性带来很多需要观察的新变量。

520

表1:数据对象和数据环境对

尽管如此,还是有共同领域提供可观察的基础。例如,可在不同状态观察和确定消息速率基准,认识到某些受压状态不适合自动化操作。

表1适用于三种环境:网络、主机和IoT,以及这些在不同处理时间的每个元状态。每个环境的元处理状态包括启动、空闲、正常处理、受压处理、降级处理和关闭。这些元状态关联着变量,而我们可访问和检查变量来确定这些是否是受控事件、异常事件或者潜在问题。

当然,每个环境的每个状态都会发生变化,这也是为什么设定基准很重要的原因。设定基准有时候被认为是网络安全的监管工作,很多人尝试使用机器学习来完成该任务,但这导致机器学习算法得到不好的名声,因为它们通常会错误地将异常数据归类为正常,而通过适当的基准化可解决这个问题。

结论

数据保真问题可能仍将继续困扰安全软件,部分原因在于人机信任关系,以及安全专家和产品开发人员在互联网安全早期阶段做出的基本假设。这些假设(非常类似于基于签名的检测模式)将继续保持无效,除非数据恢复能力(数据保真的重要组件)成为安全讨论的最前沿问题。

我们将会首先看到在IoT领域引入情境评估以支持数据保真,部分原因在于环境变量的性质以及需要更好地了解交互作用。