眾所周知，安全問題是企業至今難以解決的挑戰之一。在過去的三十年里，盡管有超過數十億的投資用于安全技術的研發領域，可是黑客問題卻似乎變本加厲。這種威脅在每個企業的任何時段都存在著。

而更危險的是，黑客如今比以往任何時段變得更為難纏，他們的攻擊已經不再僅僅依靠漏洞掃描和網絡滲透，而是有了新的途徑。然而，大多數公司所使用的傳統安全工具卻依然在關注著以往的幾點，卻忽略了現如今環境變化而導致的安全環境的復雜化。

目前大多數的工具是基于用戶簽名、檢測和響應規則等進行安全防護的。可是現代復雜的連鎖供給面前，這些防御手段轟然崩塌。如今的攻擊包含了更多的階段，例如偵測、破解、獲取特權、內部平行傳播、漏洞篩選以及持久訪問等多方面都會成為黑客的入侵通道。

而如今，大量的安全博弈及創新都產生在開源的世界里，雙方知己知彼，爭斗日趨激烈。而這種情況下，日益興起大數據對安全問題的幫助開始顯現。

利用數據尋找異常點

目前我們的數據在存儲和分析時會分為結構化數據和非結構化數據，以此對數據進行打標簽。然后，讓系統通過機器學習和深度學習算法的檢測系統正常和異常模式，因此凡是通過網絡傳播的廣告流、買家情緒分析、人臉識別算法、預測流行性病毒及惡意建模軟件等一旦存在異常，系統可基于基本數據迅速檢測并提醒，改變傳統的發現問題模型。

數據之中找異常

那么為什么要找到異常點呢?以客戶消費情緒分析為例，電商平臺會努力找到客戶正常的購買行為進行分析。但是，正常和異常的便捷如何界定呢?這就需要一數據為基礎進行甄別。

同樣，如果能夠以此甄別出異常的買家，那么也可以以此甄別出異常的數據值。一般來講，安全廠商和專業人士所使用的數據和算法本質是相同的，相同的數據、相同的技術、相同的分析模型，問題在于，黑客也知道。因此依賴于數據甄別出異常值，這就變得至關重要。

確保數據的真實性

安全解決方案所需要監測的數據務必是真實而無任何加工的。對安全專家而言，一些細微的數據變化或許很難發現，因此，系統必須利用機器學習掌握數據最原始的動態，而并非是簡單的分析過濾后的數據流。

如果建立分析模型和行為概要文件來區分異常行為，是檢測原始行為的重要環節。而這一點是傳統安全產品中的固有短板，太多的安全工具是建立在溫室里的，其對異常行為的分析往往是基于過濾后的數據流。因此，安全分析解決方案如何收集數據、分析的數據是否是真正原始的數據才是評價安全工具是否可靠的關鍵。

自動化搞定原始數據

但是另一個問題也就隨之而產生了，那就是對于大多數組織來講，異常數據實在是太多，而由此引發的警報數據頻率過快，一些事件響應的實在太小，安全事件分了和地址監控過于敏感。

一般來講，公司每秒能夠生成成千上萬次的警報，一般來講，大公司每天能夠產生的警報次數超過百萬起，而如果讓人來進行逐一甄別，則需要耗費大量的精力來進行。同時，由于大多數的警報仍然是未經檢驗的，其目的和意圖很難讓公司發覺，一些隱藏威脅很可能成為漏網之魚。

那么如何讓安全團隊處理更大比例的警報?是否要優先考慮最嚴重的潛在危機?目前最簡單也是行之有效的辦法就是采用自動化策略，通過積極的自動化檢測和警報響應，讓安全人員的活動頻次降低，避免了顧此失彼。

通過關注異常，對所有的可用數據進行檢測，完成集成和自動化的情況下，安全事件響應團隊和企業則可以更好的面對現代復雜的攻擊鏈。但這并不是萬能的辦法，因為黑客也在看著這些變化。