作為(wèi)回應，很多(duō)公司現在意識到(dào)，需要從(cóng)内部支撐起對抗在自(zì)家網絡中搜尋目标的攻擊者的工(gōng)作。在過程中，攻擊的數量和種類之多(duō)，讓人們意識到(dào)：單獨一(yī)家公司的IT部門(mén)，是不可能(néng)從(cóng)大量潛在問題和可能(néng)的攻擊通(tōng)告中篩出真正的威脅的。即便公司企業(yè)在部署下(xià)一(yī)代防火牆、終端檢測和響應産品，從(cóng)病毒簽名遷移到(dào)宣稱可以填補檢測和駐留時間空白(bái)的感染指标(IOC)，警報(bào)疲勞也持續困擾諸多(duō)的IT安全團隊。

　　為(wèi)提升競争力，公司企業(yè)一(yī)直在應用安全分析技(jì)術(shù)。此類技(jì)術(shù)的前景在于，可以做到(dào)IT部門(mén)員(yuán)工(gōng)做不到(dào)的事(shì)——審查無窮無盡的數據，标記出你應該關注的真正威脅。

　　然而，不是所有安全分析解決方案都是生(shēng)而平等的。有5個(gè)關鍵特性，對确保安全分析的有效性和阻擋當下(xià)高(gāo)級威脅的能(néng)力非常重要。

　　一(yī)、對任務和數據的極端靈活性

　　安全分析必須時刻準備好處理任何提交上(shàng)來的問題。強有力的安全分析必須承擔起比僅檢測簡單入侵的安全軟件(jiàn)更多(duō)的責任。它要能(néng)适用于任一(yī)數據源——無論是網絡、設備、服務器(qì)，還(hái)是用戶日志(zhì)等等。可以參考數量龐大種類繁多(duō)的用例。

　　然而，僅僅能(néng)夠與這些信息來源接駁尚不足夠。安全分析需要處理數據的多(duō)種不同特性——從(cóng)響應時間或次數這種指标，到(dào)來自(zì)用戶、主機(jī)和代理的信息。還(hái)需要足夠智能(néng)，要能(néng)夠檢測像“信标”這樣的模式，以及通(tōng)信數據包中的高(gāo)信息含量内容，然後，還(hái)得能(néng)夠得出分析結論并形成對實際正在發生(shēng)的事(shì)件(jiàn)及發生(shēng)範圍的洞見(jiàn)。

　　換句話說，想要成功，安全分析需要能(néng)夠使用每種數據源、數據特性和擺在面前的潛在問題，來檢測與高(gāo)級攻擊相(xiàng)關聯的非常規行為(wèi);然後分析這些行為(wèi)，向用戶呈現分析結果。

　　二、快速、準确、實時分析

　　如果實現了真正的安全分析，分析結果的出爐應該很快——近實時地給出結論，讓用戶感覺這一(yī)切幾乎是自(zì)動發生(shēng)的。涉及安全問題的時候，數據處理速度非常重要——因為(wèi)發現問題過程中的任何延遲都能(néng)對公司造成巨大損失，尤其是數據洩露正在進行中的時候。

　　同時，雖然處理速度非常重要，它前面還(hái)有一(yī)個(gè)安全分析過程中最重要的元素：理解所偵獲内容的含義，向終端用戶輸出應關注的重點結論。

　　随著(zhe)要憂心的網絡攻擊數量逐年(nián)增加，很容易看(kàn)出IT經理被标記潛在數據洩露的警報(bào)，或其他需要注意的問題折磨得不堪重負。這些問題中很多(duō)都不是數據洩露或者需要立即投以關注的;但在大多(duō)數基于簽名或定義有誤的IOC的安全軟件(jiàn)看(kàn)來，每個(gè)問題都需要标記，這樣才不會(huì)遺漏。這種做法明顯是對利用環境噪音(yīn)隐匿蹤迹的攻擊者有利。随著(zhe)警報(bào)疲勞越來越嚴重，分析師(shī)們也越來越難以在高(gāo)級檢測産品吐出的一(yī)堆堆警報(bào)中篩選出真正有價值的了。

　　三、前事(shì)不忘後事(shì)之師(shī)

　　這種情況下(xià)，機(jī)器(qì)學習技(jì)術(shù)便常出現在人們的談論中了。傳統安全工(gōng)具和人類終端用戶始終能(néng)力有限。每天能(néng)夠用來審查警報(bào)的時間就(jiù)那麽多(duō)，一(yī)旦陷入自(zì)己篩選重要警報(bào)或通(tōng)知的境地，就(jiù)已經增加了錯(cuò)過關鍵通(tōng)報(bào)的可能(néng)性。此外，盡管很多(duō)公司在SIEM中部署了規則集以輔助過濾高(gāo)相(xiàng)關度的事(shì)件(jiàn)，這也不過是對“什麽東西(xī)有問題”的靜(jìng)态理解，與能(néng)夠基于檢測出的基線模式識别出異常情況的機(jī)制相(xiàng)比，在動态性上(shàng)完全不具備可比性。

　　機(jī)器(qì)學習能(néng)将對潛在問題的分析，推進到(dào)不僅僅是看(kàn)出什麽東西(xī)和得出某些結論的程度。引入機(jī)器(qì)學習技(jì)術(shù)之後，安全分析就(jiù)能(néng)看(kàn)出問題，關聯其嚴重性，然後确保基于數據的概率得分，隻分揀出最重要的條目。

　　機(jī)器(qì)學習是大多(duō)數安全分析中的關鍵部分——它能(néng)識别并理解模式、數據的周期性和數據中的異常，從(cóng)每個(gè)實例中學會(huì)什麽是正常行為(wèi)，異常值都分布在哪兒。這有助于讓IT經理基于分析得分相(xiàng)關性，知曉該對收到(dào)的每個(gè)警報(bào)做出什麽反應，而不是寄希望于他/她選出正确的警報(bào)。

　　四、擴展能(néng)力

　　安全分析應該具備随公司成長(cháng)而擴展的能(néng)力。随著(zhe)公司聲名漸蜚，業(yè)務拓展，産生(shēng)的數據、擁有的客戶和公司業(yè)務規模都會(huì)一(yī)起增長(cháng)。這意味著(zhe)被網絡罪犯或黑(hēi)客盯上(shàng)的可能(néng)性也增加了。但是，也不總是最大的客戶被最先襲擊或被襲擊最多(duō)次，是那些對防止和檢測攻擊者準備最不足的公司才會(huì)淪為(wèi)網絡攻擊的最先最頻繁受害者。

　　安全分析需要能(néng)夠處理所有這些實例，并按需求擴展。數據量的增加不應該影響到(dào)安全分析解決方案的效能(néng)。相(xiàng)反，更多(duō)的數據應該為(wèi)攻擊添加上(shàng)下(xià)文環境，産出對攻擊者技(jì)術(shù)的恰當識别。

　　五、易于部署和理解結果

　　最後一(yī)條可被分割成兩項，但其實是一(yī)體兩面的東西(xī)。市(shì)面上(shàng)基于安全分析的産品越來越多(duō)，很多(duō)新入者都來自(zì)于結合了分析的臨近安全空間(很多(duō)情況下(xià)都産生(shēng)了太多(duō)數據而導緻噪音(yīn)太大)。部署和理解結果的容易度，歸結于從(cóng)分析中獲取到(dào)價值。

　　将預先制備并定義好的入侵檢測“配方”作為(wèi)安全分析的一(yī)部分部署下(xià)去，正成為(wèi)越來越重要的一(yī)項能(néng)力。這有點像“調諧”客戶數據類型的叠代循環，但成功的解決方案應該是最靈活且最有助于調諧過程的那種。

　　為(wèi)應用安全分析，産生(shēng)的結果需要包含像攻擊進展和威脅分類之類的符合用戶本地環境的東西(xī)。這一(yī)部分通(tōng)常都缺失了，或者留給客戶自(zì)己去顯示到(dào)自(zì)身面闆上(shàng)。很多(duō)廠商的假設是：每個(gè)客戶都養著(zhe)一(yī)支數據科學家軍隊，可以利用結果向安全分析師(shī)“描述清楚情況”。顯然，事(shì)實沒那麽簡單。你得縮短評估和部署智能(néng)的、高(gāo)度可調的适應自(zì)身安全團隊風格的安全分析的時間。

　　結論

　　安全分析的重要性再怎麽強調也不為(wèi)過，尤其是在數據洩露事(shì)件(jiàn)繼續頻登頭條，攻擊者漸用針對性新方法規避防禦技(jì)術(shù)的當下(xià)。這也是為(wèi)什麽，想要成功，你先得理解安全分析關鍵要素的原因——為(wèi)确保你的實現會(huì)査訖所有該査訖的條目，而你不會(huì)想破腦(nǎo)袋都不知道為(wèi)什麽你的分析解決方案沒能(néng)找出所有該找出的異常。通(tōng)過實現與以上(shàng)5個(gè)要素緊密挂鈎的安全分析解決方案，你就(jiù)能(néng)在挫敗針對你公司的下(xià)一(yī)次攻擊中占據有利位置。(責編：pingxiaoli)