分析20万条记录似乎不是一项大任务。但是,如果这些记录都是安全事件,每个事件都可能包含数百个属性——不良参与者的类型、受影响的资产、组织类别等等——那么,对于电子表格来说,这就有点复杂了。所以Verizon的年度安全报告,最初是用Excel完成的,现在用R。
事实上,Verizon数据泄露报告这有点像“给R的情书”,威瑞森企业解决方案的管理负责人和高级数据科学家Bob Rudis今天早些时候在EARL (R语言有效应用)波士顿会议上说。
他说:“和R一起工作很有趣。”
决定从电子表格移动到R的主要问题之一是数据格式的复杂性。Verizon研究人员从涉及嵌套JSON的组织接收事件数据,这意味着许多类别也有子类别。导入和分析Excel的所有内容都存在问题。
Rudis说,使用R还有其他优势。因为R的ggplot2包可以生成复杂的出版物质量的图形,该公司通过不再需要外部图形设计公司节省了大约1.5万到2万美元。在发布之前,对r创建的图形所做的唯一改变是在新的类型字体中进行交换。Rudis说:“R的字体很糟糕。
但是,R有很好的建模、集群和其他统计分析工具,Verizon想要做的不仅仅是统计,比如检查攻击者根据组织类型可能做什么。他指出,即使在金融服务领域,银行和保险公司面临的最大威胁也有很大不同。
报告团队还使用R来创建交互式可视化,例如探索哪些行业有类似的威胁档案。
安全数据是一种叫做VERIS的开源格式用于事件记录和事件共享的词汇表。对于那些想要分析公开报告的泄露数据的人来说,有一个真实社区数据库以及一个名为verisr轻松使用该数据。Rudis和Jay Jacobs还撰写了一本书,数据驱动的安全,详细说明了如何使用VERIS模式和R来记录和分析安全事件。
Rudis说,Verizon报告中分析的数据比公共数据库中提供的数据多得多,包括美国特勤局和联邦调查局等机构发送的事件。
他说,在与R合作分析这些数据的过程中,他学到的经验包括:
- 使用R减价将解释性文本与分析和图表相结合。R Markdown“让记录、迭代、修改和分享分析变得超级简单,”Rudis说。
- “将所有东西都打包”,甚至包括不打算在外部共享的内部分析代码。这样可以更容易地记录函数并让其他人检查结果。
- 像git这样的版本控制是“生存的关键”。
项目中使用的其他开源工具包括GitLab用于内部协作开发和松弛的合作;Rudis写了一个R包叫做slackr方便从R直接将分析发送到Slack。
还使用:SurveyGizmo,Room.co用于安全视频聊天;谷歌Hoogouts是一个非起动器,因为谷歌记录了那些会议,他说,GPG套件用于加密通信和RStudio在R.工作
鲁迪的幻灯片您可以在Slideshare上查看EARL波士顿会议的详细信息。
这篇题为《Verizon如何用R分析安全漏洞数据》的文章最初是由《计算机世界》 。