读一本书,若能让你于字里行间的穿透中迸出些灵感,就此展开脑力激荡,最终思绪若涓涓细流汇聚成川,定然是绝妙的体验。《大数据时代》就是这样一本好书。
限于职业习惯,本文一切都落脚在信息安全领域。
至于妥当与否,有无缺漏,我就当抛砖引玉了。
首先,大数据强调相关性而非因果性,传统信息安全在目标设定上或许应该更多元化一些。
以往,我们的很多产品或技术聚焦在黑客或恶意操作上,跟踪与反跟踪,攻防对抗,恨不能立刻抓个现行。我们还强调在安全事故的背后找到根本原因,以正本清源。这种思路没错,但在现如今安全威胁社会化、普遍化、复杂化的态势下,很多时候,不容我们追根溯源,损失可能已然形成。
也许我们根本没必要探究到底是谁因为什么原因而入侵系统,通过相关关系分析风险,采取预防措施,可能更具有现实意义。比如,针对移动支付,如果能以“云-端”的方式,基于海量的信息泄漏和操作行为的分析,向用户及时推送提醒或预警信息,强调意识预防而非单纯的技术控制,也许能事半功倍。就像Google基于“数据废气”来做翻译一样,重要的不是原因,而是可能的结果。进一步可想,松耦合的相关性将极大地拓展价值数据的范畴,通过“废物”的再利用,我们完全可以做到针对个人的信息安全风险评价,将其纳入信用评价体系,或许能更好地支持未来的支付场景。
其次,对数据的利用从结构化到非结构化,从精确到混杂,从局部到全体,信息安全产品的技术实现应有新的思路。
传统的IDS或漏洞发掘技术是典型的基于模式匹配的小数据分析,难以捕捉非规则化的APT攻击。设想一种新的技术路线:基于跨平台、非结构化、混杂而非精确,甚至跨组织的大数据,做全局性分析,重点放在对未知的预测而非事中监测或事后审计上,未来什么时间、何种场景、哪种操作、什么人、可能出现何种异常?有什么风险?等等。基于此,传统的很多安全产品都可以做出技术革新,包括入侵检测、漏洞扫描、SOC、日志管理、NGFW等。更重要的是,有了大数据理念,企业日常运营中发生的各种数据,例如操作和异常日志、各类监控信息、用户使用信息,将不再有“垃圾”嫌疑,全都可能为安全所用。当然,以往惯用的模式匹配和规则设定策略,很可能也要做相应的调整。信息安全的重点,将不再是就特定产品或特殊数据来做分析,而是基于业务需要来从现有的海量数据中提取、汇集、分析并预测。
再有,大数据从对象到工具再到一种全新的商业模式,赋予信息安全产业更多的发展机遇。
与大数据相关的价值命题有三个层面需要考虑。
第一,把大数据作为一种对象,其对传统数据安全提出了新的挑战。以往我们的数据安全解决方案比如DLP,对象是局部的、受限的、确定的,而大数据时代,也许那些原本毫不起眼甚至毫无价值的数据,因其积聚而量变到质变,成为必要的保护对象。有挑战就有机遇,谁能更好地为大数据安全保驾护航,谁也许就掌握了未来的一项必杀技。
第二,比大数据作为对象更高一层的,是利用大数据来做安全。前文提到过,像IDS、SOC、日志管理、操作监控等传统的安全技术或产品,都是利用小数据来做匹配分析的,一个非常大的问题是数据源单一,关联分析范围受限,通常只在自己的一亩三分地里干活,老死不相往来。其实,所有这些技术产品,大可以看成一个个数据采集点,若能在其上构建一套大数据分析机制,把以往的数据孤岛串联起来,更结合非安全领域的其他企业数据,也许能给出一个更全面的风险视图。
第三,大数据除了可以用于安全工作本身,更可以上一个台阶,直接成为企业业务发展的动力。比如,很多电商的安全部门,除了通常的运营监控外,更会从海量的用户操作中挖掘、发现并报告各种欺诈舞弊的风险,这是直接与业务关联的,甚至正是业务的一部分。再比如,针对个人的银行授信,除了传统的履约、偿债、守信等因素外,是否能对个人信息安全意识有所考虑?因意识不足导致泄漏密码、资金欺诈,也给银行带来麻烦。而如何评价信息安全意识?其实是个大数据的概念,从个人操作习惯、过往经历、“脱裤”情况等,都可以窥见一二。
此外,从大数据为我们描绘的蓝图来看,企业IT全面数据化是大势所趋。阿里巴巴不是号称IT之后是“DT”时代吗?对信息安全来讲,也许未来所有的企业都将是数据服务型企业,加上云计算、移动互联网、物联网、平台商业模式的大行其道,要么为大数据提供安全解决方案及服务,要么用大数据来做安全解决方案和服务,大数据将会成为信息安全开疆拓土最得力的抓手。
曾在某次研讨会上接触过一家叫触宝科技的公司,说起来很简单,就是做手机通讯录管理的,其核心是,与运营商合作,用云计算和大数据的方式为手机用户提供简单而直观的安全体验,包括识别陌生来电,防止欺诈骚扰,拦截垃圾短信。让我眼前一亮的是,它通过积聚云端的大数据,可以系统地分析骚扰电话和垃圾短信的来源、分布、类型、方式、对象甚至性别和心理,除了全景视图外,我们更能由此联想到他更多的价值应用,比如媒体广告、征信、舆情监控等。
趋势科技也是一个非常典型的例子。很多年前,我只知道趋势科技是做防病毒的,随着360颠覆了终端杀毒市场,趋势科技似乎就无声无息了。最近,也是偶然的机会,让我真正汗颜了一把。原来,人家早已经不复当年,企业市场,云计算,大数据,虚拟化解决方案,APT防范,BYOD安全,所有在我看来很新鲜的话题,人家其实都已运营多年并且正引领潮流。印象深刻的有一点,杀毒界当年曾有两派之争:一派强调通过本地化的智能引擎来提升病毒查杀能力,另一派则另辟蹊径,将真正的计算能力移至云端,拓展广度,及时应变,并以不变应万变。结果,搞智能引擎的因为360的“搅局”而没落,在终端市场无所作为而被“挤兑”到云端的趋势科技,置之死地而后生。这让我想起经典的IBM和谷歌做机器翻译的例子,前者搭建专家系统做人工智能,后者做大数据(甚至是大量的垃圾和错误数据)和对等翻译,前者步履维艰不了了之,后者取得应用领域质的飞跃。
类似案例有很多,尽管大多未必一开始建立的就是清晰的大数据商业模式,但随着自然的价值驱动,结果却在印证着这种趋势。还有一些创业公司,已经有了非常清晰的大数据思维,交流过程中你会直观感受到,他在说“我要的是数据”这话时所表现出的强烈自信。
其实,未来的信息安全产业,抛开具体产品不说,可能都会是围绕大数据或相关领域而打造的生态,从基础设施(数据运营本身),到大数据解决方案(比如大数据的安全),再到大数据服务(比如用大数据做安全)。甚至包括甚嚣尘上的地下黑产,其过去、现在以及未来,正在并且很可能也是围绕大数据(海量的个人信息)来产生并输出价值的。至于商业模式,大数据相关产业如何变现,看看互联网行业吧,免费,增值,附件服务,平台模式,指东打西种瓜得豆,林林总总五花八门,可以借鉴的很多。所以,套用一句俗话说,数据都有了,还愁不来钱吗?关键还是看如何基于大数据思维来系统打造出一种模式。
还有,人才储备是践行大数据思维必不可少的因素。借着《大数据时代》的结论,是否可以说,未来的信息安全专家,更可能是数据科学家(数据分析),社会学家(社交工程),心理学家(用户及业务分析)?也许他未必精通传统的信息安全技术,但他一定具有风险意识,具备数据思维,并且真正懂得从用户角度去思考问题。技术能力不是关键,思维方式才是要点。只是,这样的人,哪里去找?给大家一个思路:现在传统安全厂商最发愁的是被BAT们大挖墙角,没办法,人比人气死人,但未来,也许你会发现,其实反过来从BAT们那里倒腾出的也许才是真正的“干货”,想想看,那里什么都有了,有数据,有技术,有业务,有创新,有实践。不过,要做反向工程,须得先行栽好梧桐树呀,又一个难题?呵呵,事情往往如此,从一个循环到另一个循环,要么恶性,要么良性,取决于你的选择。
最后,对大数据所引发的个人隐私及伦理道德问题,牵涉到整个社会,我们应该有清醒的认识。从信息安全产业角度看,的确也需要社会联动以共同面对。一方面,大数据只有尽可能地公开共享才能发挥其作用,另一方面,公开共享引发的安全问题又如此深刻而广泛,绝非自家关起门来能够解决。所以我在想,未来,是否会有一种类似“数据银行”的中间机构出现,与传统银行的运营模式类似,将数据对比货币,提供存储、借贷、支付等服务。通过一种非直接接触式的交易(类似银行卡,将货币虚拟化),将个人隐私或敏感数据(把数据当做等价交换物)、数据加工处理(支付机构)、数据使用(商户等)各方对接起来。届时,用户不必像现在这样处处办业务而处处都要提交身份证、联系方式、履历等个人信息,打个包,存到“数据银行”,甚至还可以收利息。而“数据银行”则可以向信息采集收转机构以及最终使用者提供类似“支付”和“贷款”的服务。如此一来,个人信息保护的问题是否能集中得以解决?当然,可能太过理想化了,但大数据本身不就是个理想化的命题吗?
以上几点,都是我在阅读《大数据时代》过程中延伸思考并总结提炼出来的,没有系统化的结构,只当零碎点滴。
总之一句话,信息安全发展应有大数据意识、战略和能力。
