這是大數據安全分析的最后一篇文章。解決方案總是要涉及到產品技術、流程和人三個方面，其中人的因素最為重要：

1.攻防最終是人與人之間的對抗；2.再好的想法也需要一個團隊，開發成為產品落地；

所以作為最后一篇一定要說有關人的問題。

從安全分析上看，大多數組織缺乏相應的開發能力，他們需要采購廠商的成熟產品，招聘安全分析師，建立自己的安全運營中心。有一些可能采用服務外包形式，但由于數據收集、分析過程中越來越需要組織內部的信息，安全要求比較高的組織會更慎重考慮這種選擇及具體操作方式。極少數具備一定規模的組織，其關注的安全問題有一定特殊性，可能會考慮自行開發，這種方式在互聯網和金融領域比較常見。因此就涉及了兩種角色，分別以安全運營和平臺開發為主要任務。相較于安全分析師的稱呼，后者更合適作為一個開發團隊討論。下面我們就來談談這兩者。

安全分析師

2013－2014年是國內安全行業風云變換的起始，看似格局已定的網絡安全行業猛然發現：面對日趨嚴重的定向攻擊以及APT，傳統的老幾樣產品似乎失去了作用，動蕩之時思人才，但暮然回首卻發現近二十年的發展，在攻防領域成長起來的可用之才卻少之又少，加之互聯網企業的大力爭奪，大家一時間均在感嘆人才難得。

很多人都會同意的看法，在整個短缺的人才中，安全分析師是首當其沖的。安全分析是要解讀報警、針對相關數據分析和調查，并確定事件是否需要進一步升級，分析師還可能參與事件響應過程或者其它任務（如：主機取證或者惡意軟件分析等）。

一個簡單的事實是，組織的網絡安全性取決于安全分析師是否能有效的做好自己的工作。安全分析師的工作如此重要，而需要他們的不僅是安全廠商，合理的情況是只要組織需要安全建設運營，就需要他們，可以想見需求數量之多。而實際上現今這方面人才又有多少呢？安全分析師應該是一種不錯的職業選擇！

所需的技能

如何成為一個安全分析師，就是需要回答這個問題的時候。由于自身并不是一個專業的安全分析人員，所以這里只能整理業內專家的建議［1］，供有意愿的人參考：

分析師的技能可以分為基礎技能和專業技能兩類，基礎技能是所有分析師都應該擁有的，而專業技能方面，理想情況下應該掌握2-3個領域。事實上在FireEye的有關團隊中要求至少一個。

基礎技能

1.安全理念：威脅為中心的安全、NSM（網絡安全監控）和NSM周期；2.TCP/IP協議；3.通用應用協議；4.包分析；5.Windows體系結構；6.Linux體系結構7.基本數據解析（BASH、grep、SED、AWK等）8.IDS使用9.IOC和IDS簽名調優10.開源情報收集11.基本的分析診斷方法12.基本的惡意軟件分析

專業技能

1.進攻戰術（Red Team）：集中在滲透測試和安全評估。此類演練可以用來識別其他分析師的弱點。并且具備這方面優勢的分析師可以更好的識別某些攻擊者的活動；

2.防守戰術（Blue Team）：精通檢測和分析的大師。涉及構思新的工具和分析方法，及時了解網絡防御相關的新的工具和研究，并評估這些工具為組織使用。具體如：對網絡通信協議更詳盡的了解、IDS機制與運維，IDS簽名調整以及基于統計的檢測。

3.編程能力：精通編程就能夠開發定制的檢測和分析解決方案。他們應該成為精通解釋性語言（如Python或者Perl）、網絡語言（PHP或Java），最終可能涉及編譯語言（如C）。

4.系統管理：系統管理本身是一個更通用的技能，專注于此，可以更好的參與收集數據的過程。以深入了解Windows和Linux平臺為基礎，更進一步深入，可以更好的理解和收集日志。

5.惡意軟件分析：分析過程經常會存在已知或可疑惡意軟件樣本的收集，一般的分析師可以利用沙箱做IOCs提取，但如果遇到有針對性的惡意軟件，則一個在惡意軟件分析上有較高水準的人就非常有價值。

6.基于主機的取證：從已被攻陷的主機進行取證分析獲得情報，情報可以用來進一步優化組織的數據收集過程，同時也可用于評估和實現新的基于主機的檢測機制，并生成IOCs。有用的技能包括硬盤驅動器和文件系統取證、內存取證和案發過程回溯等。

分析師等級

當我第一次讀到上面的內容時，心里不由感嘆，要成為一個分析師太不容易了！其實并非如此，如果能夠達到以上標準，那是需要很長的時間的，分析師需要一點點成長起來，現實中分析師是分層級的，你可以先成為一個低級別的分析師，然后逐步積累帶到更高。在美國慣例把分析師劃為3個等級：

L1級分析師:擁有前面列出的基本技能，但還沒有選擇特定的專業技能。大多數組織內，大多數的分析師都屬于L1分類中。

L2級分析師:擁有扎實的基本技能，通常情況下至少有一種專業技能。L2往往充當L1的導師；

L3級分析師：最高級分析師，擅長所有基本技能和至少一種專業技能。

三級分析師有各自的分工，在工作中相互配合。就如下圖Splunk［2］給出的建議：

在接觸上面相關材料的時候，不由的對SANS組織在美國的安全分析師培養上發揮的作用感到震撼，針對以上提到的分析師技能，他們都有專門的培訓課程［3］（如：SEC401、SEC501、SEC503、SEC504、SEC561、FOR610等），并且這些課程提供了被業界認可的專業性和美譽度，在我跟蹤的幾個重要分析師博客中，可以發現他們對SANS的尊重及對其課程的重視，很多有影響的分析師會在那里親自授課。真心期盼我們國內的相關培訓也能盡快的迎頭趕上。

平臺開發團隊

大數據安全分析平臺相關的產品無疑是當前網絡安全行業的熱點，國際、國內進入的廠商很多。在實際工作中，大家會發現其對跨領域專業要求非常廣泛，涉及到：

1.計算機編程2.大數據系統架構3.機器學習算法4.可視化5.數學及統計學6.安全分析領域知識

這么廣泛的領域，沒有人能夠做到面面俱到，因此很多時候在建立團隊時要求“通才”或者“全棧工程師”是不現實的，組建一個團隊，讓不同的領域專家通力合作更為可行。這種情況下團隊的交流溝通就至為重要了，如何讓團隊更好的溝通合作是成功的基本條件。

關于團隊在統計模型方面的能力，需要著重提一下。我們先看一下Drew Conway總結，被廣泛認同的數據科學維恩圖［4］（其中的Hacking Skills指的的計算機領域技能）：

　　請特別注意這里面的Danger Zone，他這樣論述：

Finally, a word on the hacking skills plus substantive expertise danger zone. This is where I place people who, "know enough to be dangerous," and is the most problematic area of the diagram. In this area people who are perfectly capable of extracting and structuring data, likely related to a field they know quite a bit about, and probably even know enough R to run a linear regression and report the coefficients; but they lack any understanding of what those coefficients mean. It is from this part of the diagram that the phrase "lies, damned lies, and statistics" emanates, because either through ignorance or malice this overlap of skills gives people the ability to create what appears to be a legitimate analysis without any understanding of how they got there or what they have created. Fortunately, it requires near willful ignorance to acquire hacking skills and substantive expertise without also learning some math and statistics along the way. As such, the danger zone is sparsely populated, however, it does not take many to produce a lot of damage.

《大數據時代：生活、工作與思維的大變革》使大數據的概念成為公眾話題，但相關性到底是大數據的優勢或者不足，也許我們需要收集更多的信息，有自己獨立的思考。

總結

大數據安全分析整個四篇文章就全部結束了，寫作過程也是一個總結提高的過程，在這個過程中個人有很多收獲，同時也希望能夠給花時間閱讀這些文字的同行一些收獲。愿我們能夠共同努力，早日讓大數據安全分析在國內結出累累碩果。

最后推廣一下我的簡書主頁（http://www.jianshu.com/users/8e057f1f9a4b/latest_articles），可以在那兒方便的看到這個系列的全部文章，包括大數據分析的理念、數據收集、分析、可視化等內容。

參考資料：

1.Chris Sanders 等：《Applied Network Security Monitoring ：Collection, Detection, and Analysis》；

2.Splunk 白皮書：《Building a SOC with Splunk 》

3.SANS 白皮書：《Building a World-Class Security Operations Center: A Roadmap 》

4.http://drewconway.com/zia/2013/3/26/the-data-science-venn-diagram