眾所周知，安全問(wèn)題是企業(yè)至今難以解決的挑戰(zhàn)之一。在過(guò)去的三十年里，盡管有超過(guò)數(shù)十億的投資用于安全技術(shù)的研發(fā)領(lǐng)域，可是黑客問(wèn)題卻似乎變本加厲。這種威脅在每個(gè)企業(yè)的任何時(shí)段都存在著。

而更危險(xiǎn)的是，黑客如今比以往任何時(shí)段變得更為難纏，他們的攻擊已經(jīng)不再僅僅依靠漏洞掃描和網(wǎng)絡(luò)滲透，而是有了新的途徑。然而，大多數(shù)公司所使用的傳統(tǒng)安全工具卻依然在關(guān)注著以往的幾點(diǎn)，卻忽略了現(xiàn)如今環(huán)境變化而導(dǎo)致的安全環(huán)境的復(fù)雜化。

目前大多數(shù)的工具是基于用戶簽名、檢測(cè)和響應(yīng)規(guī)則等進(jìn)行安全防護(hù)的?？墒乾F(xiàn)代復(fù)雜的連鎖供給面前，這些防御手段轟然崩塌。如今的攻擊包含了更多的階段，例如偵測(cè)、破解、獲取特權(quán)、內(nèi)部平行傳播、漏洞篩選以及持久訪問(wèn)等多方面都會(huì)成為黑客的入侵通道。

而如今，大量的安全博弈及創(chuàng)新都產(chǎn)生在開(kāi)源的世界里，雙方知己知彼，爭(zhēng)斗日趨激烈。而這種情況下，日益興起大數(shù)據(jù)對(duì)安全問(wèn)題的幫助開(kāi)始顯現(xiàn)。

利用數(shù)據(jù)尋找異常點(diǎn)

目前我們的數(shù)據(jù)在存儲(chǔ)和分析時(shí)會(huì)分為結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，以此對(duì)數(shù)據(jù)進(jìn)行打標(biāo)簽。然后，讓系統(tǒng)通過(guò)機(jī)器學(xué)習(xí)和深度學(xué)習(xí)算法的檢測(cè)系統(tǒng)正常和異常模式，因此凡是通過(guò)網(wǎng)絡(luò)傳播的廣告流、買家情緒分析、人臉識(shí)別算法、預(yù)測(cè)流行性病毒及惡意建模軟件等一旦存在異常，系統(tǒng)可基于基本數(shù)據(jù)迅速檢測(cè)并提醒，改變傳統(tǒng)的發(fā)現(xiàn)問(wèn)題模型。

數(shù)據(jù)之中找異常

那么為什么要找到異常點(diǎn)呢?以客戶消費(fèi)情緒分析為例，電商平臺(tái)會(huì)努力找到客戶正常的購(gòu)買行為進(jìn)行分析。但是，正常和異常的便捷如何界定呢?這就需要一數(shù)據(jù)為基礎(chǔ)進(jìn)行甄別。

同樣，如果能夠以此甄別出異常的買家，那么也可以以此甄別出異常的數(shù)據(jù)值。一般來(lái)講，安全廠商和專業(yè)人士所使用的數(shù)據(jù)和算法本質(zhì)是相同的，相同的數(shù)據(jù)、相同的技術(shù)、相同的分析模型，問(wèn)題在于，黑客也知道。因此依賴于數(shù)據(jù)甄別出異常值，這就變得至關(guān)重要。

確保數(shù)據(jù)的真實(shí)性

安全解決方案所需要監(jiān)測(cè)的數(shù)據(jù)務(wù)必是真實(shí)而無(wú)任何加工的。對(duì)安全專家而言，一些細(xì)微的數(shù)據(jù)變化或許很難發(fā)現(xiàn)，因此，系統(tǒng)必須利用機(jī)器學(xué)習(xí)掌握數(shù)據(jù)最原始的動(dòng)態(tài)，而并非是簡(jiǎn)單的分析過(guò)濾后的數(shù)據(jù)流。

如果建立分析模型和行為概要文件來(lái)區(qū)分異常行為，是檢測(cè)原始行為的重要環(huán)節(jié)。而這一點(diǎn)是傳統(tǒng)安全產(chǎn)品中的固有短板，太多的安全工具是建立在溫室里的，其對(duì)異常行為的分析往往是基于過(guò)濾后的數(shù)據(jù)流。因此，安全分析解決方案如何收集數(shù)據(jù)、分析的數(shù)據(jù)是否是真正原始的數(shù)據(jù)才是評(píng)價(jià)安全工具是否可靠的關(guān)鍵。

自動(dòng)化搞定原始數(shù)據(jù)

但是另一個(gè)問(wèn)題也就隨之而產(chǎn)生了，那就是對(duì)于大多數(shù)組織來(lái)講，異常數(shù)據(jù)實(shí)在是太多，而由此引發(fā)的警報(bào)數(shù)據(jù)頻率過(guò)快，一些事件響應(yīng)的實(shí)在太小，安全事件分了和地址監(jiān)控過(guò)于敏感。

一般來(lái)講，公司每秒能夠生成成千上萬(wàn)次的警報(bào)，一般來(lái)講，大公司每天能夠產(chǎn)生的警報(bào)次數(shù)超過(guò)百萬(wàn)起，而如果讓人來(lái)進(jìn)行逐一甄別，則需要耗費(fèi)大量的精力來(lái)進(jìn)行。同時(shí)，由于大多數(shù)的警報(bào)仍然是未經(jīng)檢驗(yàn)的，其目的和意圖很難讓公司發(fā)覺(jué)，一些隱藏威脅很可能成為漏網(wǎng)之魚(yú)。

那么如何讓安全團(tuán)隊(duì)處理更大比例的警報(bào)?是否要優(yōu)先考慮最嚴(yán)重的潛在危機(jī)?目前最簡(jiǎn)單也是行之有效的辦法就是采用自動(dòng)化策略，通過(guò)積極的自動(dòng)化檢測(cè)和警報(bào)響應(yīng)，讓安全人員的活動(dòng)頻次降低，避免了顧此失彼。

通過(guò)關(guān)注異常，對(duì)所有的可用數(shù)據(jù)進(jìn)行檢測(cè)，完成集成和自動(dòng)化的情況下，安全事件響應(yīng)團(tuán)隊(duì)和企業(yè)則可以更好的面對(duì)現(xiàn)代復(fù)雜的攻擊鏈。但這并不是萬(wàn)能的辦法，因?yàn)楹诳鸵苍诳粗@些變化。