安全威脅不斷轉變，黑客的技術亦愈來愈高;相反很大比例的網絡安全廠商卻仍然停留在傳統的防護方式，那就是針對網絡入口進行防護;因此作為企業(yè)也應時刻審查本身正採用的方案是否能滿足現今安全趨勢，而針對新式的攻擊活動，企業(yè)亦應該作出相應改變才是致勝之道。

話又說回來，究竟傳統上，黑客攻擊企業(yè)系統時，其著眼點會放在那裡呢?概括而言，傳統黑客攻擊心態(tài)上往往是「目標為本」，亦即是說在攻擊的設計上只針對特定目標，例如針對入侵系統的某一位置、偷取指定位置的暫存檔案等等;但正所謂「道高一尺、魔高一仗」，現今黑客攻擊的心態(tài)已變得更廣泛，單次攻擊往往反而著眼于攻擊過程，例如會考慮到完成攻擊后，所偷取的數據應暫存在受害者系統之中的那一位置才最安全?如何能植入木馬或 C&C Server 以隨時監(jiān)測用戶的最新動向而不被發(fā)現等等。

大部份防護方案針對網絡入口

上面都提過，現時大部份防護方案主力針對網絡入口進行檢測以及攔截等動作，但往往卻忽略了一旦誤判又或者被成功入侵后的防護工作;當然不是完全沒有，但對比針對入口的防護功能，明顯在級數上有一定差距;其實企業(yè)在選購相關方案時，應考慮一些能面對黑客成功入侵后，自動作一些動作以降低其入侵影響的方案;同時企業(yè)亦應每年針對 IT 設備作審計，以便及時揪出問題及保安漏洞，這樣才可確保整體安全。

大數據套用到保安方案中

即使企業(yè)找到了一套能符合上方要求的方案，企業(yè)還要解決另一頭痛問題，那就是常見的零日攻擊及漏洞;所謂的零日攻擊就是黑客發(fā)現了一些前所未見的最新漏洞，并通過這些仍未及時釋出修正檔案的漏洞向目標發(fā)動入侵/攻擊;這種漏洞的確十分難應付，所以企業(yè)的防護方案亦必須同時支緩大數據以及同時將防護功能整合一起，只有這樣企業(yè)才較為能解決到傳統由發(fā)現漏洞 -> 分析 -> 製作修正檔 -> 推送至用戶端所需時間。

結合大數據的防護方案我們都曾經介紹過，在這種模式下，網絡相關數據將會持續(xù)被收集，而同時系統亦會不停地進行分析，這樣便可以緩解零日攻擊所帶來的影響，并且在漏洞出現前先行估算整體風險指數。

大數據如何塞進防護方案之中?

分析對于應付未知威脅十分重要，通過分析資安人員可進一步了解整個環(huán)境的狀況。對用戶和全球情報收集及分析亦有莫大幫助，以下是常見的玩法：

1. 不停步分析及檢測

連續(xù)對行為進行分析可令檢測更有效，滲入性更強。行為檢測方法，如沙盒，可作為連續(xù)分析的一個位置。行為執(zhí)行時，沙盒的特性令惡意活動不會影響實際環(huán)境，而所有異常活動通過在沙盒之中進行分析后，有問題的大部份都會被捕捉。

2. 分析并自動生成紀錄

下一步就是系統會實時監(jiān)測數據、文件、異?；顒拥?，然后便可進一步處理這些信息，并以此建立活動紀錄，對抵擋攻擊有更大的幫助。

3. 預測未來攻擊

接著，系統便會正式結合大數據分析功能，并持續(xù)分析封包、如檢查傳統的病毒識別簽名檔、MD5 等等，對比資料庫后自動封殺已知危機;而持續(xù)分析常見的攻擊趨勢后，亦可針對未來的攻擊活動稍為分析，從而讓資安團隊能及早作好準備。

4. 調查更快更有效

真實的網絡活動配合上 Indicators of Compromises (IoCs) 模式為基礎，從而加快資安團隊了解和審視攻擊行為;藉由結合大數據分析，安全團隊便可以更快識別特定的塬因，從而能盡可能阻止即將到來的進一步動作，提升反應以及整體效率。