眾所周知，安全問題是企業(yè)至今難以解決的挑戰(zhàn)之一。在過去的三十年里，盡管有超過數(shù)十億的投資用于安全技術的研發(fā)領域，可是黑客問題卻似乎變本加厲。這種威脅在每個企業(yè)的任何時段都存在著。

　　而更危險的是，黑客如今比以往任何時段變得更為難纏，他們的攻擊已經(jīng)不再僅僅依靠漏洞掃描和網(wǎng)絡滲透，而是有了新的途徑。然而，大多數(shù)公司所使用的傳統(tǒng)安全工具卻依然在關注著以往的幾點，卻忽略了現(xiàn)如今環(huán)境變化而導致的安全環(huán)境的復雜化。

　　目前大多數(shù)的工具是基于用戶簽名、檢測和響應規(guī)則等進行安全防護的?？墒乾F(xiàn)代復雜的連鎖供給面前，這些防御手段轟然崩塌。如今的攻擊包含了更多的階段，例如偵測、破解、獲取特權、內部平行傳播、漏洞篩選以及持久訪問等多方面都會成為黑客的入侵通道。

　　而如今，大量的安全博弈及創(chuàng)新都產(chǎn)生在開源的世界里，雙方知己知彼，爭斗日趨激烈。而這種情況下，日益興起大數(shù)據(jù)對安全問題的幫助開始顯現(xiàn)。

　　利用數(shù)據(jù)尋找異常點

　　目前我們的數(shù)據(jù)在存儲和分析時會分為結構化數(shù)據(jù)和非結構化數(shù)據(jù)，以此對數(shù)據(jù)進行打標簽。然后，讓系統(tǒng)通過機器學習和深度學習算法的檢測系統(tǒng)正常和異常模式，因此凡是通過網(wǎng)絡傳播的廣告流、買家情緒分析、人臉識別算法、預測流行性病毒及惡意建模軟件等一旦存在異常，系統(tǒng)可基于基本數(shù)據(jù)迅速檢測并提醒，改變傳統(tǒng)的發(fā)現(xiàn)問題模型。

數(shù)據(jù)之中找異常

　　那么為什么要找到異常點呢？以客戶消費情緒分析為例，電商平臺會努力找到客戶正常的購買行為進行分析。但是，正常和異常的便捷如何界定呢？這就需要一數(shù)據(jù)為基礎進行甄別。

　　同樣，如果能夠以此甄別出異常的買家，那么也可以以此甄別出異常的數(shù)據(jù)值。一般來講，安全廠商和專業(yè)人士所使用的數(shù)據(jù)和算法本質是相同的，相同的數(shù)據(jù)、相同的技術、相同的分析模型，問題在于，黑客也知道。因此依賴于數(shù)據(jù)甄別出異常值，這就變得至關重要。

確保數(shù)據(jù)的真實性

　　安全解決方案所需要監(jiān)測的數(shù)據(jù)務必是真實而無任何加工的。對安全專家而言，一些細微的數(shù)據(jù)變化或許很難發(fā)現(xiàn)，因此，系統(tǒng)必須利用機器學習掌握數(shù)據(jù)最原始的動態(tài)，而并非是簡單的分析過濾后的數(shù)據(jù)流。

　　如果建立分析模型和行為概要文件來區(qū)分異常行為，是檢測原始行為的重要環(huán)節(jié)。而這一點是傳統(tǒng)安全產(chǎn)品中的固有短板，太多的安全工具是建立在溫室里的，其對異常行為的分析往往是基于過濾后的數(shù)據(jù)流。因此，安全分析解決方案如何收集數(shù)據(jù)、分析的數(shù)據(jù)是否是真正原始的數(shù)據(jù)才是評價安全工具是否可靠的關鍵。

自動化搞定原始數(shù)據(jù)

　　但是另一個問題也就隨之而產(chǎn)生了，那就是對于大多數(shù)組織來講，異常數(shù)據(jù)實在是太多，而由此引發(fā)的警報數(shù)據(jù)頻率過快，一些事件響應的實在太小，安全事件分了和地址監(jiān)控過于敏感。

　　一般來講，公司每秒能夠生成成千上萬次的警報，一般來講，大公司每天能夠產(chǎn)生的警報次數(shù)超過百萬起，而如果讓人來進行逐一甄別，則需要耗費大量的精力來進行。同時，由于大多數(shù)的警報仍然是未經(jīng)檢驗的，其目的和意圖很難讓公司發(fā)覺，一些隱藏威脅很可能成為漏網(wǎng)之魚。

　　那么如何讓安全團隊處理更大比例的警報？是否要優(yōu)先考慮最嚴重的潛在危機？目前最簡單也是行之有效的辦法就是采用自動化策略，通過積極的自動化檢測和警報響應，讓安全人員的活動頻次降低，避免了顧此失彼。

　　通過關注異常，對所有的可用數(shù)據(jù)進行檢測，完成集成和自動化的情況下，安全事件響應團隊和企業(yè)則可以更好的面對現(xiàn)代復雜的攻擊鏈。但這并不是萬能的辦法，因為黑客也在看著這些變化。