精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

企業安全團隊必須多想想怎樣將大數據轉化為實時答案了。

安全團隊總在尋找新的有效方法來發現威脅，新興安全分析領域被證明是最有前途的創新領域之一。安全分析包含一系列分析技術，能被用于諸如網絡流量、主機威脅指示器或幾乎任何類型事件日志的多樣化數據源。

從很多方面看，這一描述都很像是某種大數據分析——分析大量數據集以找出非預期關聯。然而，盡管大數據明顯是個強有力的工具，卻還達不到萬靈丹的程度。當涉及到發現活躍攻擊時，太多數據反而會壓垮員工，以致威脅被遺失在噪音中。若對怎樣使用數據沒有一個清晰的概念，大數據安全分析項目反而會讓IT團隊陷入網絡安全無能者的境地——數據堆到拖垮企業的地步。

一些教訓

不用回溯太久，就可以找出“更多數據未必意味著更大價值”的教訓。自上世紀90年代，安全信息和事件管理(SIEM)和日志管理廠商就假設：設置所有企業日志的中心收集點就可以應對企業的幾乎任何問題。雖然SIEM被證明對很多企業而言都是必備的，這些系統依然不足以成為IT那無所不知的神諭。企業早已經由慘痛代價明白，堆成山的數據并不能點石成金，形成有指導意義的洞見。

人類專業知識通常是成功的SIEM項目的核心。想要理解不同種類的數據，編出極端復雜的規則來解釋數據，專家是必不可少的。通常都需要有人類分析師來對SIEM提出正確的問題。這種狀況往往導致各種操作都是高度定制化的，系統脆弱而很難改變，且高度依賴于人類維護和反饋。簡言之，收集數據是容易的部分；將成山高的數據用起來，就相當具有挑戰性了。

安全團隊事實上需要的是數據縮減

安全分析的大數據方法已然準備好復制那些困擾SIEM多年的東西，雖然有著多得多的數據，以及高得多的復雜度。為避免落入上一代技術的誤區，我們需要摒除“數據夠多，答案自現”的一廂情愿。這種想法帶來的重擔，幾乎總是壓在人類分析師的肩上，他們必須從大量警報和異常中篩選出真正相關的點。

基本問題是，收集的數據越多，自動化數據刪減的平行需求愈明顯。這里的數據刪減，指的是大海撈針似的將龐雜數據快速降解出真正有用的幾個點的能力。如今，我們正在創建龐雜數據自動生成的場景，但大海撈針的過程卻依然是人工的。員工可能要將所有的時間都用在調查“非正常”卻未必是真實威脅的事件上。這有可能導致出現“垃圾收藏家”狀況，也就是抱著“可能會有用”的想法留下全部東西，實際上卻干擾了正常運作的情況。

因此，安全分析項目需要以情報轉化率進行衡量。分析自動化程度如何？問題何時被檢測到，是不是決定性問題？有多少附加調查和驗證是需要員工來做的，需要多少時間？重申一遍：收集數據相對容易，安全分析解決方案的價值卻存在于將數據轉化為答案的能力上。

當然，保有全部數據本身并不是一件壞事。事實上，在鑒證情形下，這是非常有用的。這種情況下，安全團隊清楚出了問題，而一個完整的數據集能讓他們探尋到答案。但是，主動發現和阻止活躍攻擊又是另一碼事了。兩種方法都有其位置。不過，老實說，業界不缺驗證和分析已知攻擊的鑒證工具。大多數企業都缺乏的，是揭露未知攻擊的能力。這要求我們多想想該怎么將大數據轉化為實時答案。