“可视化就像电脑显示屏一样,通过图表、图形等形式,把原本冰冷、枯燥的数据展现出来,让人一眼就能看懂海量数据的含义以及他们之间的关联。”奇安信可视化专家解释道,“如今,可视化已经几乎成为了网络安全产品的标配。”
随着攻击行为越来越复杂,APT攻击事件频繁发生,这些攻击不是单点短时间攻击,而是持续时间长达数年甚至更长时间,并且有多个复杂的环节组成,并且隐蔽性非常强。想要对付这些恶意行为,就必须针对数据进行关联分析,从而还原攻击全貌。就像警察破案,需要围绕证据,还原犯罪事实一样。
不过,在数据呈现几何倍数增长的时代,想要解决上述问题,没有可视化分析还真就不行。依靠工程师和那些冰冷的数据“正面硬钢”,还不知道要到猴年马月。
雷尔,如雷贯耳
打雷其实就是自然界中可视化的一种表现形式。众所周知,雷电现象的产生,是因为带有大量正电荷的云彩和带有大量负电荷的云彩相互碰撞的结果。通过捕捉雷电,人们就可以获得云彩所带电荷的相关信息。
巧合的是,奇安信旗下可视化产品也带一个雷字,叫做雷尔可视化操作平台。单听雷尔这个名字,“如雷贯耳”这个词可能在第一时间就跃入了脑海之中,让人觉得霸气侧漏,其主要职责就是对数据的探索、分析与展现。
奇安信雷尔3D地图可视化效果图
据奇安信官网显示,作为奇安信网络安全四大研发平台之一,“雷尔”主要用于数据可视化,可视分析,图形渲染,设计建模等技术领域该平台以数据驱动安全为核心理念,向各产品业务输出易用高效组件,提供专业的可视化方案。
在可视化领域,雷尔已经是小有名气了。据报道,在2018年德国柏林举行的IEEE VIS 数据可视化顶级会议上,奇安信与北大可视化联合组队再次获得2018 VAST MC3最高奖项,而此次与北大联合组队的就是“雷尔”。
“看见”原本看不见的数据
看起来酷炫可视化,真正做起来却并非那么简单。数据可视化是复杂多元的学科,包含了设计学、美学、心理学、图形学、数据处理与挖掘分析、人机交互等众多学科知识与实现技术,不仅需要综合素质高的数据可视化专家,还离不开专业的数据可视化分析工具。
过去,可视化并没有引起大家足够的重视。传统的围墙式边界防护手段主要依赖于静态规则匹配,但是现在不一样了,传统安全手段在应对未知威胁方面很难有所作为。APT攻击之所以难以被发现并且能够长时间潜伏,其中很重要的一个原因就是,受害者很难从蛛丝马迹中寻找到有价值的线索。
举个简单的例子,《网络安全法》中明确规定,企业需要留存半年的日志。留存这些日志的目的并不是要白白浪费企业的存储空间,而是希望留下可能存在的“犯罪证据”。
可是,大量的日志使得安全人员一眼看过去就头皮发麻,更别说从中能够得到什么有用的信息了。这个时候,可视化技术就能够大显神威了,它可以用于下一代防火墙、态势感知、云安全、终端安全等各类产品中,将看不见、摸不着的流量和日志等数据,以图表、图形等交互的展示方式,帮助安全人员快速找到线索并展开关联分析。
雷尔让数据驱动安全“唾手可得”
根据互联网公开资料显示,Girardin等在1998年使用了多种可视化技术来分析防火墙日志记录,利用节点连接图、平行坐标轴等展示不同协议事件与活动之间的相关性,自此拉开了可视化在网络安全领域的应用。自2004年开始,每年IEEE都会举办网络安全可视化研讨会,标志着该研究领域的正式建立。
时至今日,网络安全已经与可视化相辅相成,密不可分。态势感知、威胁情报等等网络安全热门领域都离不开可视化技术。安全可视化在安全大数据分析中展示出了独特价值:以人类大脑更易于理解的可视化格式,对海量安全数据进行互动展示,可以帮助安全分析人员快速识别潜在攻击和异常事件。
大数据可视化分析不仅需要综合素质高的数据可视化专家,还离不开专业的数据可视化分析工具。这种基于海量数据,利用人+设备的模式,正是奇安信倡导的安全防护模式。
奇安信以“数据驱动安全”为技术思想,为政企用户建立了云端、设备和人三部分协同联动的新一代安全体系,充分发挥数据、设备和安全专家等多方的价值,全方位提升防御内外部安全威胁和业务风险的能力,而可视化技术正成为网络安全领域的核心竞争力,让安全运营、威胁情报、态势感知都具备“看得见”的能力,从而更帮助安全分析人员快速智能的发现风险与威胁。
数据驱动安全,雷尔应该记上一大功。
雷锋网(公众号:雷锋网)雷锋网
雷锋网版权文章,未经授权禁止转载。