大數據4V再加1V
大數據(Big Data)是眾多科技發展很夯的議題之一,也特別去界定或形塑出大數據的具備的條件,例如:Big Data 4V:容量(Volume)要夠大、產出處理資料速度(Velocity)要夠大夠快、資料要具備多樣性(Variety)及資料本體被分析是具有價值的(Value);而Big Data 5V 則是增加Veracity,也就是資料分析具備精準性。
簡單從統計學角度解釋,當被分析的母體所取得樣本越大,越接近於母體實際狀態,所以所被分析的記錄越詳實愈完整愈能呈現其現況。即便把大數據的「大」字先放下,其實「數據分析」也是要精準呈現結果,都是放諸四海皆準的數據分析應用。
平心而論數據分析在學術應用已經是常態,如:量化研究。當被冠上「大」數據後,數據本身將有另一番呈現。聚焦到數據分析的價值層面,請容許筆者想再文中新加一個V,就是視覺呈現(Visualization),因為視覺呈現可以在枯燥的數據分析報表中快速與精準彰顯資料的價值,不需要用更多文字說明,就能理解呈現的意義與目的。所以當我們在搜尋關鍵字以big data visualization,可以找到許多關聯性與解釋。
從UEBA看資安大數據
什麼是UEBA,源自Gartner的分析報告,其全名為User and Entity Behavior Analytics,就是使用者與其裝置的行為分析,筆者把時間拉回到在今年2016年6月16日在Digitimes 資安論壇高雄場的演講中,展示精品科技X-FORT在「資安大數據」的應用與分析Lab成果展示;以及在7月1日至7月4日的台北國際軟體應用展中,介紹X-FORT「資安大數據」分析應用與分析原理,其目的都是想要表達UEBA的核心價值,當然還有更多User and Entity待分析與接軌處理,這樣的呈現只是精品科技,對於展現更好資安控管的新目標。以下將與大家分享X-FORT在資安數據分析的重要發展過程。
讓我們先了解UEBA的三個要素,UEBA是2015年9月Gartner報告所提出(請參見圖一,取自Gartner),圖示中User扮演著Connected核心角色,也因為有人的行為,才與應用程式(Application)、網路裝置與活動(Network)、以及Endpoint(端點裝置)產生關聯,也才能具體呈現出「人」的行為記錄。這人的行為把它放在資訊安全領域,就可以勾勒出內部行為風險與外部入侵竊取行為。
缺少了人的連結,只不過是「點」的記錄(沒有線與面關聯),要花很大時間才能繪製出可能的行為模式。所以人的角色就像資料庫術語中的primary key,當所蒐集的記錄越多多樣性(Variety),人除了是primary key外,透過Data Process又可以建立起更多foreign key,在進行分析時越容易精準(Veracity)呈現事實。
【Gartner UEBA架構圖】
檢視X-FORT記錄與UEBA的關聯性
X-FORT擁有不少應用程式(Application)、網路裝置與活動(Network)、以及Endpoint(端點裝置)的軌跡記錄,舉凡:Endpoint的Windows PC、Windows & Android行動裝置、USB儲存裝置、印表機、WiFi AP管控、檔案操作記錄、硬碟防護…等呈現出UEBA中的一項元素,再去深入檢視網路活動(Network),如:網路存取、人為上網行為記錄、系統連網記錄、雲端活動記錄、網路列印、WebPost記錄、郵件寄送記錄、IM通訊記錄…等,是UEBA其二元素;最後一項元素就是Application,例如:應用程式執行記錄…等。
X-FORT已經具備UEBA的基本運作元素,都可以牢牢抓住使用者多數的IT行為。而妥善完整記錄相關軌跡,再配合數據分析,將可以解決數據條列式呈現與過於龐大反而無法快速處置風險的問題。
企業與組織期望從數據看到什麼
企業透過X-FORT累積大量資安數據後,開始進行使用者與裝置的行為分析,從企業與組織管理立場,期望從資安大數據中看到什麼? 可以歸納分析有三個關注面向:首先關注那些記錄是正常值(Normal),又有哪些是異常狀態(Abnormal);其二是相關狀態中那些是合理可以解釋(Interpretable)的行為,哪些行為是不可解釋(Uninterpretable)的行為;最後關注在這裡的行為是合法(Legal)或違法(illegal)的狀態。當我們走完這三個分析程序,管理制度便可以進行相關處置與準備。
從上述的三個面向,似乎很難進行數據分析上的行為操作,要如何將數據變成可以實際操作的項目呢? 筆者歸納出十多項的思考模型(在此無法一一說明),就舉出其中幾項與大家一起分享。最常見的就是數量上的異常,舉凡上網次數多寡與合理值,就是一種常見數量上的異常;檔案寫出大小的異常,例如上傳雲端檔案是一個壓縮檔,且檔案大小超過1GB,就有可能是異常行為。進階的行為分析,可以了解到使用者多面向行為的異常,甚至考慮到Personal文化特質,推算出可能的行為預測(Predict)。
從經典數據中找出驚奇風險與問題
在台北國際軟體應用展中,舉出四個案例分享,分別是66/2,150,000 這裡數據分析出在一個月內兩百萬多筆網路行為中,發現有66筆線上遊戲記錄,且在上班時段進行網路遊戲;二是360/480數據呈現出使用者每天使用電腦在上班時段的平均值;6/500,000 發現在這個月50萬筆電腦軟體執行中出現六次日本著名翻牆軟體SoftEther執行記錄,都精準呈現出不容易發覺的異常資訊與分析價值。再從統計學角度,我們可以建立高標值與低標值,相關行為值在此區段內都屬於正常行為,而遠低於低標值或是遠高於高標值,可能具備潛在的問題行為,這也是建立企業組織分析標準指標的一種應用方式。這都是數值呈現的風險很好的案例。
透過視覺化的呈現,協助高階主管即時矯正風險
數據的以數值方式呈現固然好,可是我們如果將相關數據分析視覺互動化呢? 透過視覺化圖形搭配互動(Interactive)模式功能來處理,企業組織管理階層,可以透過這互動功能,從組織企業全景模式,往下縮小到研發單位,再縮小到部門以及個人,或是從事件本體反推到資料資訊或是目標對象,就可以快速進行動態管理與異常矯正。這是精品科技努力進行的目標,期望再不久,可以看到新的數據分析效果,讓企業組織可以更有效率達到管理的目的。