作為(wèi)回應，很多公司(sī)現在(zài)意識到，需要從內(nèi)部支撐起對抗在(zài)自家網絡中搜尋目标的(de)攻擊者的(de)工作。在(zài)過程中，攻擊的(de)數(shù)量和種類之多，讓人們意識到：單獨一家公司(sī)的(de)IT部門(mén)，是不(bù)可能從大量潛在(zài)問題和可能的(de)攻擊通告中篩出真正的(de)威脅的(de)。即便公司(sī)企業在(zài)部署下一代防火(huǒ)牆、終端檢測和響應産品，從病毒簽名遷移到宣稱可以填補檢測和駐留時間空白的(de)感染指标(IOC)，警報(bào)疲勞也持續困擾諸多的(de)IT安全團隊。

　　為(wèi)提升競争力，公司(sī)企業一直在(zài)應用(yòng)安全分析技術。此類技術的(de)前景在(zài)于，可以做(zuò)到IT部門(mén)員工做(zuò)不(bù)到的(de)事——審查無窮無盡的(de)數(shù)據，标記出你應該關注的(de)真正威脅。

　　然而，不(bù)是所有安全分析解決方案都是生而平等的(de)。有5個(gè)關鍵特性，對确保安全分析的(de)有效性和阻擋當下高(gāo)級威脅的(de)能力非常重要。

　　一、對任務(wù)和數(shù)據的(de)極端靈活性

　　安全分析必須時刻準備好(hǎo)(hǎo)處理(lǐ)任何提交上來的(de)問題。強有力的(de)安全分析必須承擔起比僅檢測簡單入侵的(de)安全軟件(jiàn)更多的(de)責任。它要能适用(yòng)于任一數(shù)據源——無論是網絡、設備、服(fú)務(wù)器(qì)，還是用(yòng)戶日志等等。可以參考數(shù)量龐大種類繁多的(de)用(yòng)例。

　　然而，僅僅能夠與這(zhè)些信息來源接駁尚不(bù)足夠。安全分析需要處理(lǐ)數(shù)據的(de)多種不(bù)同特性——從響應時間或次數(shù)這(zhè)種指标，到來自用(yòng)戶、主機和代理(lǐ)的(de)信息。還需要足夠智能，要能夠檢測像“信标”這(zhè)樣的(de)模式，以及通信數(shù)據包中的(de)高(gāo)信息含量內(nèi)容，然後，還得能夠得出分析結論并形成對實際正在(zài)發生的(de)事件(jiàn)及發生範圍的(de)洞見。

　　換句話說(shuō)，想要成功，安全分析需要能夠使用(yòng)每種數(shù)據源、數(shù)據特性和擺在(zài)面前的(de)潛在(zài)問題，來檢測與高(gāo)級攻擊相關聯的(de)非常規行(xíng)為(wèi);然後分析這(zhè)些行(xíng)為(wèi)，向用(yòng)戶呈現分析結果。

　　二、快速、準确、實時分析

　　如果實現了真正的(de)安全分析，分析結果的(de)出爐應該很快——近(jìn)實時地(dì)給出結論，讓用(yòng)戶感覺這(zhè)一切幾乎是自動發生的(de)。涉及安全問題的(de)時候，數(shù)據處理(lǐ)速度非常重要——因為(wèi)發現問題過程中的(de)任何延遲都能對公司(sī)造成巨大損失，尤其是數(shù)據洩露正在(zài)進行(xíng)中的(de)時候。

　　同時，雖然處理(lǐ)速度非常重要，它前面還有一個(gè)安全分析過程中最重要的(de)元素：理(lǐ)解所偵獲內(nèi)容的(de)含義，向終端用(yòng)戶輸出應關注的(de)重點結論。

　　随著(zhe)要憂心的(de)網絡攻擊數(shù)量逐年增加，很容易看出IT經理(lǐ)被标記潛在(zài)數(shù)據洩露的(de)警報(bào)，或其他(tā)需要注意的(de)問題折磨得不(bù)堪重負。這(zhè)些問題中很多都不(bù)是數(shù)據洩露或者需要立即投以關注的(de);但(dàn)在(zài)大多數(shù)基于簽名或定義有誤的(de)IOC的(de)安全軟件(jiàn)看來，每個(gè)問題都需要标記，這(zhè)樣才不(bù)會(huì)遺漏。這(zhè)種做(zuò)法明顯是對利用(yòng)環境噪音隐匿蹤迹的(de)攻擊者有利。随著(zhe)警報(bào)疲勞越來越嚴重，分析師(shī)們也越來越難以在(zài)高(gāo)級檢測産品吐出的(de)一堆堆警報(bào)中篩選出真正有價值的(de)了。

　　三、前事不(bù)忘後事之師(shī)

　　這(zhè)種情況下，機器(qì)學(xué)習技術便常出現在(zài)人們的(de)談論中了。傳統安全工具和人類終端用(yòng)戶始終能力有限。每天能夠用(yòng)來審查警報(bào)的(de)時間就那麼多，一旦陷入自己篩選重要警報(bào)或通知的(de)境地(dì)，就已經增加了錯過關鍵通報(bào)的(de)可能性。此外，盡管很多公司(sī)在(zài)SIEM中部署了規則集以輔助過濾高(gāo)相關度的(de)事件(jiàn)，這(zhè)也不(bù)過是對“什麼東西有問題”的(de)靜(jìng)态理(lǐ)解，與能夠基于檢測出的(de)基線模式識别出異常情況的(de)機制相比，在(zài)動态性上完全不(bù)具備可比性。

　　機器(qì)學(xué)習能将對潛在(zài)問題的(de)分析，推進到不(bù)僅僅是看出什麼東西和得出某些結論的(de)程度。引入機器(qì)學(xué)習技術之後，安全分析就能看出問題，關聯其嚴重性，然後确保基于數(shù)據的(de)概率得分，隻分揀出最重要的(de)條目。

　　機器(qì)學(xué)習是大多數(shù)安全分析中的(de)關鍵部分——它能識别并理(lǐ)解模式、數(shù)據的(de)周期性和數(shù)據中的(de)異常，從每個(gè)實例中學(xué)會(huì)什麼是正常行(xíng)為(wèi)，異常值都分布在(zài)哪兒。這(zhè)有助于讓IT經理(lǐ)基于分析得分相關性，知曉該對收到的(de)每個(gè)警報(bào)做(zuò)出什麼反應，而不(bù)是寄希望于他(tā)/她選出正确的(de)警報(bào)。

　　四、擴展能力

　　安全分析應該具備随公司(sī)成長(cháng)而擴展的(de)能力。随著(zhe)公司(sī)聲名漸蜚，業務(wù)拓展，産生的(de)數(shù)據、擁有的(de)客戶和公司(sī)業務(wù)規模都會(huì)一起增長(cháng)。這(zhè)意味著(zhe)被網絡罪犯或黑(hēi)客盯上的(de)可能性也增加了。但(dàn)是，也不(bù)總是最大的(de)客戶被最先襲擊或被襲擊最多次，是那些對防止和檢測攻擊者準備最不(bù)足的(de)公司(sī)才會(huì)淪為(wèi)網絡攻擊的(de)最先最頻(pín)繁受害者。

　　安全分析需要能夠處理(lǐ)所有這(zhè)些實例，并按需求擴展。數(shù)據量的(de)增加不(bù)應該影響到安全分析解決方案的(de)效能。相反，更多的(de)數(shù)據應該為(wèi)攻擊添加上下文環境，産出對攻擊者技術的(de)恰當識别。

　　五、易于部署和理(lǐ)解結果

　　最後一條可被分割成兩項，但(dàn)其實是一體兩面的(de)東西。市(shì)面上基于安全分析的(de)産品越來越多，很多新(xīn)入者都來自于結合了分析的(de)臨近(jìn)安全空間(很多情況下都産生了太多數(shù)據而導緻噪音太大)。部署和理(lǐ)解結果的(de)容易度，歸結于從分析中獲取到價值。

　　将預先制備并定義好(hǎo)(hǎo)的(de)入侵檢測“配方”作為(wèi)安全分析的(de)一部分部署下去，正成為(wèi)越來越重要的(de)一項能力。這(zhè)有點像“調諧”客戶數(shù)據類型的(de)叠代循環，但(dàn)成功的(de)解決方案應該是最靈活且最有助于調諧過程的(de)那種。

　　為(wèi)應用(yòng)安全分析，産生的(de)結果需要包含像攻擊進展和威脅分類之類的(de)符合用(yòng)戶本地(dì)環境的(de)東西。這(zhè)一部分通常都缺失了，或者留給客戶自己去顯示到自身(shēn)面闆上。很多廠商的(de)假設是：每個(gè)客戶都養著(zhe)一支數(shù)據科(kē)學(xué)家軍隊，可以利用(yòng)結果向安全分析師(shī)“描述清楚情況”。顯然，事實沒那麼簡單。你得縮短評估和部署智能的(de)、高(gāo)度可調的(de)适應自身(shēn)安全團隊風格的(de)安全分析的(de)時間。

　　結論

　　安全分析的(de)重要性再怎麼強調也不(bù)為(wèi)過，尤其是在(zài)數(shù)據洩露事件(jiàn)繼續頻(pín)登頭條，攻擊者漸用(yòng)針對性新(xīn)方法規避防禦技術的(de)當下。這(zhè)也是為(wèi)什麼，想要成功，你先得理(lǐ)解安全分析關鍵要素的(de)原因——為(wèi)确保你的(de)實現會(huì)査訖所有該査訖的(de)條目，而你不(bù)會(huì)想破腦袋都不(bù)知道(dào)為(wèi)什麼你的(de)分析解決方案沒能找出所有該找出的(de)異常。通過實現與以上5個(gè)要素緊密挂鈎的(de)安全分析解決方案，你就能在(zài)挫敗針對你公司(sī)的(de)下一次攻擊中占據有利位置。(責編：pingxiaoli)