Giới thiệu về Dự án mới nhất của Apache: Metron

Hãy bắt đầu với một bản tóm tắt mới nhất từ ​​ô Apache - Apache Metron .

Theo Tổ chức Phần mềm Apache , Apache Metron là một khuôn khổ ứng dụng an ninh mạng cung cấp cho các tổ chức khả năng nhập, xử lý và lưu trữ các nguồn cấp dữ liệu bảo mật đa dạng trên quy mô nhằm phát hiện các bất thường trên mạng và cho phép các tổ chức nhanh chóng phản hồi chúng.

Hortonworks , nhà tài trợ cho chương trình ươm tạo của Metron, cho biết Metron được xây dựng để giải quyết các Mối đe dọa liên tục nâng cao (APT) bằng cách sử dụng máy học .

Bạn hẳn đang tự hỏi tất cả những gì nó đang dẫn đến. Về cơ bản, một số hoạt động nhất định của tin tặc vượt ra ngoài những hoạt động thường gặp, chẳng hạn như các cuộc tấn công mạng liên tục vào các tổ chức cụ thể (chẳng hạn như các nhà bán lẻ lớn, v.v. có sự hiện diện trực tuyến đáng kể hoặc được số hóa hợp lý) với mục đích xấu. Hơn hết, chúng rất khó bị phát hiện thông qua các phương tiện hoặc cơ chế thông thường. Bất kể mục đích của các cuộc tấn công như vậy là gì, thiệt hại và mức độ của chúng rất khác nhau. Một số ví dụ như thiệt hại tài sản thế chấp đối với thương hiệu (do mất dữ liệu khách hàng) và làm suy giảm niềm tin của nhà đầu tư - xóa sạch hàng triệu đô la vốn hóa thị trường, bên cạnh đó tất nhiên lợi nhuận sẽ bị ảnh hưởng nặng nề.

Bây giờ chúng ta đã biết những APT này có thể làm gì cho doanh nghiệp của bạn từ quan điểm an ninh mạng, hãy xem Metron đã giúp như thế nào trong việc giải quyết những thách thức này ở một mức độ lớn.

Đầu tiên và quan trọng nhất, nó đề cập đến khía cạnh cơ bản nhất nhưng vẫn là quan trọng nhất của an ninh mạng: giám sát thời gian thực các hoạt động và truy cập.

Đó là tốt. Tuy nhiên, câu hỏi được đặt ra - cụ thể nó làm gì để vượt qua các APT?

Nó thực hiện một số điều không thể thực hiện được với các hệ thống truyền thống:

• Nhận dữ liệu trực tiếp, xử lý và cập nhật trong trang tổng quan trực tiếp bằng cách sử dụng kiến ​​trúc có thể mở rộng (lưu trữ và xử lý)
• Định hướng cấu hình (không cần mã hóa bổ sung)
• Hỗ trợ phân tích chuỗi thời gian (từ 5 giây đến 100 năm)
• Hỗ trợ linh hoạt giúp khi các yêu cầu động, do đó có thể gặp các mục bị bỏ qua chẳng hạn như lỗi đăng nhập thường xuyên của một người dùng cụ thể không hoạt động trong một thời gian dài.

Đối với hồ sơ, nó vẫn đang trong giai đoạn Beta (Beta 2 vào tháng 8 năm 2016) với bản phát hành beta đầu tiên (Apache Metron 0.1) vào tháng 4 năm 2016. Vì nó vẫn đang trong giai đoạn ươm tạo (tại Apache Software Foundation ), có rất có thể có nhiều ràng buộc hơn trong việc triển khai hiệu quả của nó.

Mặc dù chưa thể có danh sách đầy đủ, nhưng đây là những gì một số người dùng đầu tiên (chẳng hạn như chúng tôi) gặp phải:

• Không có hỗ trợ cộng đồng - như đã đề cập ở trên, do nó vẫn đang trong giai đoạn Beta, người ta có thể mong đợi rằng chưa có hỗ trợ cho cộng đồng nhà phát triển.
• Hiện tại không có mẫu hỗ trợ nào, dự kiến ​​sẽ được đưa vào 

Mặc dù thực tế là nó vẫn chưa hoàn toàn trưởng thành, nhưng có những điểm sáng rõ ràng như:

• Nỗ lực phát triển giảm (85%)
• Dễ vận hành và thực hiện (theo định hướng cấu hình)
• Các yêu cầu động được hỗ trợ
• Tích hợp chặt chẽ một số phần của giải pháp như Kafka, Storm, Kibana, v.v., với các tính năng tích hợp để tách dữ liệu

Nó có giới hạn trong chỉ phân tích bảo mật không? Không có gì. Có những lĩnh vực hoặc lĩnh vực khác mà khả năng ứng dụng của Metron có thể được khám phá. Từ những gì chúng ta đã thấy, có thể suy ra rằng bất kể ngành dọc nào, Apache Metron sẽ tìm thấy ứng dụng rộng rãi trong các lĩnh vực có dữ liệu phát trực tiếp cũng như các chức năng cần giám sát liên tục. Ví dụ như hệ thống giao thông, giám sát ICU (chăm sóc sức khỏe), v.v.

Khi nền tảng phát triển, người ta có thể mong đợi cả hiệu quả và khả năng sử dụng của nó sẽ phát triển vượt bậc. Thời gian thú vị phía trước cho các phân tích nâng cao (bảo mật, dự báo, dự đoán và hơn thế nữa).