英国气象局部署NoSQL情报学习安全系统，旨在监控网络流量

Posted 2021-05-01 E安全

英国气象局正在推进一项大数据驱动型安全模型，旨在利用一套基于NoSQL的系统对网络流量中的异常活动加以处理，从而处理各类安全威胁。

在此之前，英国气象局还构建起一套专用的网络安全运营中心，并根据“信任区”开发一项信息安全战略。这些对核心信息的识别工作需要强大的防御体系作为后盾，但其同时也接受一项基本理念，即再强大的外部防御机制也几乎一定会被侵入。

“在一定程度上讲，一切来自内部的恶意行为以及高级持续性威胁（简称APT）乃至零日恶意软件，我们的防御体系终归会被打破。因此，现在的问题在于我们需要尽可能确保安全事故不会发生，并将其与监控及响应机制加以结合，”气象局CIO Charles Ewen表示。

“这些都是安全领域的关键词。我们当然也计划降低自身系统的安全性障碍，旨在充分发挥技术监控及响应机制的固有作用。我们已经建立起一个极具现代化特性的项目，其中使用了Elasticsearch——次世代NoSQL数据库之一。它负责面向我们的全部系统进行日志收集。”

“这是一套自我学习型系统。它会勾勒起一套视角，用于描述哪些属于正确情况。它通过学习告诉我们哪些状况较为可疑或者与正常状态不符。一旦状态有了问题，而接下来的重点就是由诊断团队介入以了解其中的具体情况，”Ewen指出。

他同时补充称，在起步之初，这套系统曾经出现过“很多可怕的误报”。不过随着系统与业务流程的逐步契合，这些误报在数量上已经开始下降。

“随着这台‘机器’拥有更为可观的容量并学习到更多关于正确运行情况的背景信息，它已经成为一套越来越有效的解决方案，能够及时帮助我们的团队意识到已经有哪些异常状况发生并利用自己的技能对其进行复核，”Ewen解释称。

建立一支专门的安全团队反映出Ewen对于特定技能以及安全态度的认同与重视。

“我们已经建立起一支真正的工程师队伍，”他指出。

“这让我树立起对真正工程师的认识与信任。我们确实需要合格的顾问，他们在很大程度上了解执行策略以及如何加以实现。除了既有解决方案，大家也需要配合技能卓越的工程师团队，由他们亲手加以诊断并处理问题，并搞定后续的取证与预防工作，从而确保类似的状况不会再度发生。”

“过去我们曾经依赖于运维人员来扮演这样的角色，但他们的反应速度还不够理想。我们需要的团队成员必须拥有出色的技术水平，这类技术储备与诊断问题所必需的运维技能有所区别，”Ewen在采访中表示。

网络安全运营中心也负责管理英国气象局的其它传统安全工具与软件套件，其中包括其入侵检测系统与处理流程。

E安全/文 转载请注明E安全

新朋友请关注「E安全」