過(guò)去1年半時(shí)間里，嚴(yán)重威脅到公司業(yè)務(wù)執(zhí)行能力的安全失敗和數(shù)據(jù)泄露日益增加，企業(yè)需要付出更多努力來(lái)阻止此類事件?？蛻舻拿舾薪鹑诤蛡€(gè)人信息需要被保護(hù)。

作為回應(yīng)，很多公司現(xiàn)在意識(shí)到，需要從內(nèi)部支撐起對(duì)抗在自家網(wǎng)絡(luò)中搜尋目標(biāo)的攻擊者的工作。在過(guò)程中，攻擊的數(shù)量和種類之多，讓人們意識(shí)到：?jiǎn)为?dú)一家公司的IT部門，是不可能從大量潛在問(wèn)題和可能的攻擊通告中篩出真正的威脅的。即便公司企業(yè)在部署下一代防火墻、終端檢測(cè)和響應(yīng)產(chǎn)品，從病毒簽名遷移到宣稱可以填補(bǔ)檢測(cè)和駐留時(shí)間空白的感染指標(biāo)(IOC)，警報(bào)疲勞也持續(xù)困擾諸多的IT安全團(tuán)隊(duì)。

為提升競(jìng)爭(zhēng)力，公司企業(yè)一直在應(yīng)用安全分析技術(shù)。此類技術(shù)的前景在于，可以做到IT部門員工做不到的事——審查無(wú)窮無(wú)盡的數(shù)據(jù)，標(biāo)記出你應(yīng)該關(guān)注的真正威脅。

然而，不是所有安全分析解決方案都是生而平等的。有5個(gè)關(guān)鍵特性，對(duì)確保安全分析的有效性和阻擋當(dāng)下高級(jí)威脅的能力非常重要。

一、對(duì)任務(wù)和數(shù)據(jù)的極端靈活性

安全分析必須時(shí)刻準(zhǔn)備好處理任何提交上來(lái)的問(wèn)題。強(qiáng)有力的安全分析必須承擔(dān)起比僅檢測(cè)簡(jiǎn)單入侵的安全軟件更多的責(zé)任。它要能適用于任一數(shù)據(jù)源——無(wú)論是網(wǎng)絡(luò)、設(shè)備、服務(wù)器，還是用戶日志等等?？梢詤⒖紨?shù)量龐大種類繁多的用例。

然而，僅僅能夠與這些信息來(lái)源接駁尚不足夠。安全分析需要處理數(shù)據(jù)的多種不同特性——從響應(yīng)時(shí)間或次數(shù)這種指標(biāo)，到來(lái)自用戶、主機(jī)和代理的信息。還需要足夠智能，要能夠檢測(cè)像“信標(biāo)”這樣的模式，以及通信數(shù)據(jù)包中的高信息含量?jī)?nèi)容，然后，還得能夠得出分析結(jié)論并形成對(duì)實(shí)際正在發(fā)生的事件及發(fā)生范圍的洞見(jiàn)。

換句話說(shuō)，想要成功，安全分析需要能夠使用每種數(shù)據(jù)源、數(shù)據(jù)特性和擺在面前的潛在問(wèn)題，來(lái)檢測(cè)與高級(jí)攻擊相關(guān)聯(lián)的非常規(guī)行為；然后分析這些行為，向用戶呈現(xiàn)分析結(jié)果。

二、快速、準(zhǔn)確、實(shí)時(shí)分析

如果實(shí)現(xiàn)了真正的安全分析，分析結(jié)果的出爐應(yīng)該很快——近實(shí)時(shí)地給出結(jié)論，讓用戶感覺(jué)這一切幾乎是自動(dòng)發(fā)生的。涉及安全問(wèn)題的時(shí)候，數(shù)據(jù)處理速度非常重要——因?yàn)榘l(fā)現(xiàn)問(wèn)題過(guò)程中的任何延遲都能對(duì)公司造成巨大損失，尤其是數(shù)據(jù)泄露正在進(jìn)行中的時(shí)候。

同時(shí)，雖然處理速度非常重要，它前面還有一個(gè)安全分析過(guò)程中最重要的元素：理解所偵獲內(nèi)容的含義，向終端用戶輸出應(yīng)關(guān)注的重點(diǎn)結(jié)論。

隨著要憂心的網(wǎng)絡(luò)攻擊數(shù)量逐年增加，很容易看出IT經(jīng)理被標(biāo)記潛在數(shù)據(jù)泄露的警報(bào)，或其他需要注意的問(wèn)題折磨得不堪重負(fù)。這些問(wèn)題中很多都不是數(shù)據(jù)泄露或者需要立即投以關(guān)注的；但在大多數(shù)基于簽名或定義有誤的IOC的安全軟件看來(lái)，每個(gè)問(wèn)題都需要標(biāo)記，這樣才不會(huì)遺漏。這種做法明顯是對(duì)利用環(huán)境噪音隱匿蹤跡的攻擊者有利。隨著警報(bào)疲勞越來(lái)越嚴(yán)重，分析師們也越來(lái)越難以在高級(jí)檢測(cè)產(chǎn)品吐出的一堆堆警報(bào)中篩選出真正有價(jià)值的了。

三、前事不忘后事之師

這種情況下，機(jī)器學(xué)習(xí)技術(shù)便常出現(xiàn)在人們的談?wù)撝辛?。傳統(tǒng)安全工具和人類終端用戶始終能力有限。每天能夠用來(lái)審查警報(bào)的時(shí)間就那么多，一旦陷入自己篩選重要警報(bào)或通知的境地，就已經(jīng)增加了錯(cuò)過(guò)關(guān)鍵通報(bào)的可能性。此外，盡管很多公司在SIEM中部署了規(guī)則集以輔助過(guò)濾高相關(guān)度的事件，這也不過(guò)是對(duì)“什么東西有問(wèn)題”的靜態(tài)理解，與能夠基于檢測(cè)出的基線模式識(shí)別出異常情況的機(jī)制相比，在動(dòng)態(tài)性上完全不具備可比性。

機(jī)器學(xué)習(xí)能將對(duì)潛在問(wèn)題的分析，推進(jìn)到不僅僅是看出什么東西和得出某些結(jié)論的程度。引入機(jī)器學(xué)習(xí)技術(shù)之后，安全分析就能看出問(wèn)題，關(guān)聯(lián)其嚴(yán)重性，然后確保基于數(shù)據(jù)的概率得分，只分揀出最重要的條目。

機(jī)器學(xué)習(xí)是大多數(shù)安全分析中的關(guān)鍵部分——它能識(shí)別并理解模式、數(shù)據(jù)的周期性和數(shù)據(jù)中的異常，從每個(gè)實(shí)例中學(xué)會(huì)什么是正常行為，異常值都分布在哪兒。這有助于讓IT經(jīng)理基于分析得分相關(guān)性，知曉該對(duì)收到的每個(gè)警報(bào)做出什么反應(yīng)，而不是寄希望于他/她選出正確的警報(bào)。

四、擴(kuò)展能力

安全分析應(yīng)該具備隨公司成長(zhǎng)而擴(kuò)展的能力。隨著公司聲名漸蜚，業(yè)務(wù)拓展，產(chǎn)生的數(shù)據(jù)、擁有的客戶和公司業(yè)務(wù)規(guī)模都會(huì)一起增長(zhǎng)。這意味著被網(wǎng)絡(luò)罪犯或黑客盯上的可能性也增加了。但是，也不總是最大的客戶被最先襲擊或被襲擊最多次，是那些對(duì)防止和檢測(cè)攻擊者準(zhǔn)備最不足的公司才會(huì)淪為網(wǎng)絡(luò)攻擊的最先最頻繁受害者。

安全分析需要能夠處理所有這些實(shí)例，并按需求擴(kuò)展。數(shù)據(jù)量的增加不應(yīng)該影響到安全分析解決方案的效能。相反，更多的數(shù)據(jù)應(yīng)該為攻擊添加上下文環(huán)境，產(chǎn)出對(duì)攻擊者技術(shù)的恰當(dāng)識(shí)別。

五、易于部署和理解結(jié)果

最后一條可被分割成兩項(xiàng)，但其實(shí)是一體兩面的東西。市面上基于安全分析的產(chǎn)品越來(lái)越多，很多新入者都來(lái)自于結(jié)合了分析的臨近安全空間(很多情況下都產(chǎn)生了太多數(shù)據(jù)而導(dǎo)致噪音太大)。部署和理解結(jié)果的容易度，歸結(jié)于從分析中獲取到價(jià)值。

將預(yù)先制備并定義好的入侵檢測(cè)“配方”作為安全分析的一部分部署下去，正成為越來(lái)越重要的一項(xiàng)能力。這有點(diǎn)像“調(diào)諧”客戶數(shù)據(jù)類型的迭代循環(huán)，但成功的解決方案應(yīng)該是最靈活且最有助于調(diào)諧過(guò)程的那種。

為應(yīng)用安全分析，產(chǎn)生的結(jié)果需要包含像攻擊進(jìn)展和威脅分類之類的符合用戶本地環(huán)境的東西。這一部分通常都缺失了，或者留給客戶自己去顯示到自身面板上。很多廠商的假設(shè)是：每個(gè)客戶都養(yǎng)著一支數(shù)據(jù)科學(xué)家軍隊(duì)，可以利用結(jié)果向安全分析師“描述清楚情況”。顯然，事實(shí)沒(méi)那么簡(jiǎn)單。你得縮短評(píng)估和部署智能的、高度可調(diào)的適應(yīng)自身安全團(tuán)隊(duì)風(fēng)格的安全分析的時(shí)間。

結(jié)論

安全分析的重要性再怎么強(qiáng)調(diào)也不為過(guò)，尤其是在數(shù)據(jù)泄露事件繼續(xù)頻登頭條，攻擊者漸用針對(duì)性新方法規(guī)避防御技術(shù)的當(dāng)下。這也是為什么，想要成功，你先得理解安全分析關(guān)鍵要素的原因——為確保你的實(shí)現(xiàn)會(huì)査訖所有該査訖的條目，而你不會(huì)想破腦袋都不知道為什么你的分析解決方案沒(méi)能找出所有該找出的異常。通過(guò)實(shí)現(xiàn)與以上5個(gè)要素緊密掛鉤的安全分析解決方案，你就能在挫敗針對(duì)你公司的下一次攻擊中占據(jù)有利位置。