作(zuò)為(wèi)回應，很多公司現(xiàn)在意識到，需要從内部支撐起對抗在自家網絡中搜尋目标的攻擊者的工作(zuò)。在過程中，攻擊的數量和種類之多，讓人(rén)們意識到：單獨一(yī)家公司的IT部門，是不可能(néng)從大量潛在問題和可能(néng)的攻擊通告中篩出真正的威脅的。即便公司企業在部署下(xià)一(yī)代防火(huǒ)牆、終端檢測和響應産品，從病毒簽名遷移到宣稱可以填補檢測和駐留時(shí)間(jiān)空白的感染指标(IOC)，警報(bào)疲勞也(yě)持續困擾諸多的IT安全團隊。

　　為(wèi)提升競争力，公司企業一(yī)直在應用安全分(fēn)析技術。此類技術的前景在于，可以做到IT部門員(yuán)工做不到的事(shì)——審查無窮無盡的數據，标記出你應該關(guān)注的真正威脅。

　　然而，不是所有安全分(fēn)析解決方案都是生(shēng)而平等的。有5個(gè)關(guān)鍵特性，對确保安全分(fēn)析的有效性和阻擋當下(xià)高級威脅的能(néng)力非常重要。

　　一(yī)、對任務(wù)和數據的極端靈活性

　　安全分(fēn)析必須時(shí)刻準備好(hǎo)(hǎo)處理(lǐ)任何提交上(shàng)來(lái)的問題。強有力的安全分(fēn)析必須承擔起比僅檢測簡單入侵的安全軟件更多的責任。它要能(néng)适用于任一(yī)數據源——無論是網絡、設備、服務(wù)器(qì)，還是用戶日志等等。可以參考數量龐大種類繁多的用例。

　　然而，僅僅能(néng)夠與這(zhè)些(xiē)信息來(lái)源接駁尚不足夠。安全分(fēn)析需要處理(lǐ)數據的多種不同特性——從響應時(shí)間(jiān)或次數這(zhè)種指标，到來(lái)自用戶、主機和代理(lǐ)的信息。還需要足夠智能(néng)，要能(néng)夠檢測像“信标”這(zhè)樣的模式，以及通信數據包中的高信息含量内容，然後，還得能(néng)夠得出分(fēn)析結論并形成對實際正在發生(shēng)的事(shì)件及發生(shēng)範圍的洞見。

　　換句話(huà)說(shuō)，想要成功，安全分(fēn)析需要能(néng)夠使用每種數據源、數據特性和擺在面前的潛在問題，來(lái)檢測與高級攻擊相關(guān)聯的非常規行為(wèi);然後分(fēn)析這(zhè)些(xiē)行為(wèi)，向用戶呈現(xiàn)分(fēn)析結果。

　　二、快(kuài)速、準确、實時(shí)分(fēn)析

　　如(rú)果實現(xiàn)了(le)真正的安全分(fēn)析，分(fēn)析結果的出爐應該很快(kuài)——近實時(shí)地給出結論，讓用戶感覺這(zhè)一(yī)切幾乎是自動發生(shēng)的。涉及安全問題的時(shí)候，數據處理(lǐ)速度非常重要——因為(wèi)發現(xiàn)問題過程中的任何延遲都能(néng)對公司造成巨大損失，尤其是數據洩露正在進行中的時(shí)候。

　　同時(shí)，雖然處理(lǐ)速度非常重要，它前面還有一(yī)個(gè)安全分(fēn)析過程中最重要的元素：理(lǐ)解所偵獲内容的含義，向終端用戶輸出應關(guān)注的重點結論。

　　随着要憂心的網絡攻擊數量逐年增加，很容易看出IT經理(lǐ)被标記潛在數據洩露的警報(bào)，或其他需要注意的問題折磨得不堪重負。這(zhè)些(xiē)問題中很多都不是數據洩露或者需要立即投以關(guān)注的;但(dàn)在大多數基于簽名或定義有誤的IOC的安全軟件看來(lái)，每個(gè)問題都需要标記，這(zhè)樣才不會遺漏。這(zhè)種做法明顯是對利用環境噪音(yīn)隐匿蹤迹的攻擊者有利。随着警報(bào)疲勞越來(lái)越嚴重，分(fēn)析師們也(yě)越來(lái)越難以在高級檢測産品吐出的一(yī)堆堆警報(bào)中篩選出真正有價值的了(le)。

　　三、前事(shì)不忘後事(shì)之師

　　這(zhè)種情況下(xià)，機器(qì)學習技術便常出現(xiàn)在人(rén)們的談論中了(le)。傳統安全工具和人(rén)類終端用戶始終能(néng)力有限。每天能(néng)夠用來(lái)審查警報(bào)的時(shí)間(jiān)就(jiù)那麽多，一(yī)旦陷入自己篩選重要警報(bào)或通知的境地，就(jiù)已經增加了(le)錯過關(guān)鍵通報(bào)的可能(néng)性。此外，盡管很多公司在SIEM中部署了(le)規則集以輔助過濾高相關(guān)度的事(shì)件，這(zhè)也(yě)不過是對“什(shén)麽東西(xī)有問題”的靜态理(lǐ)解，與能(néng)夠基于檢測出的基線模式識别出異常情況的機制相比，在動态性上(shàng)完全不具備可比性。

　　機器(qì)學習能(néng)将對潛在問題的分(fēn)析，推進到不僅僅是看出什(shén)麽東西(xī)和得出某些(xiē)結論的程度。引入機器(qì)學習技術之後，安全分(fēn)析就(jiù)能(néng)看出問題，關(guān)聯其嚴重性，然後确保基于數據的概率得分(fēn)，隻分(fēn)揀出最重要的條目。

　　機器(qì)學習是大多數安全分(fēn)析中的關(guān)鍵部分(fēn)——它能(néng)識别并理(lǐ)解模式、數據的周期性和數據中的異常，從每個(gè)實例中學會什(shén)麽是正常行為(wèi)，異常值都分(fēn)布在哪兒(ér)。這(zhè)有助于讓IT經理(lǐ)基于分(fēn)析得分(fēn)相關(guān)性，知曉該對收到的每個(gè)警報(bào)做出什(shén)麽反應，而不是寄希望于他/她選出正确的警報(bào)。

　　四、擴展能(néng)力

　　安全分(fēn)析應該具備随公司成長而擴展的能(néng)力。随着公司聲名漸蜚，業務(wù)拓展，産生(shēng)的數據、擁有的客戶和公司業務(wù)規模都會一(yī)起增長。這(zhè)意味着被網絡罪犯或黑客盯上(shàng)的可能(néng)性也(yě)增加了(le)。但(dàn)是，也(yě)不總是最大的客戶被最先襲擊或被襲擊最多次，是那些(xiē)對防止和檢測攻擊者準備最不足的公司才會淪為(wèi)網絡攻擊的最先最頻繁受害者。

　　安全分(fēn)析需要能(néng)夠處理(lǐ)所有這(zhè)些(xiē)實例，并按需求擴展。數據量的增加不應該影響到安全分(fēn)析解決方案的效能(néng)。相反，更多的數據應該為(wèi)攻擊添加上(shàng)下(xià)文環境，産出對攻擊者技術的恰當識别。

　　五、易于部署和理(lǐ)解結果

　　最後一(yī)條可被分(fēn)割成兩項，但(dàn)其實是一(yī)體(tǐ)兩面的東西(xī)。市(shì)面上(shàng)基于安全分(fēn)析的産品越來(lái)越多，很多新(xīn)入者都來(lái)自于結合了(le)分(fēn)析的臨近安全空間(jiān)(很多情況下(xià)都産生(shēng)了(le)太多數據而導緻噪音(yīn)太大)。部署和理(lǐ)解結果的容易度，歸結于從分(fēn)析中獲取到價值。

　　将預先制備并定義好(hǎo)(hǎo)的入侵檢測“配方”作(zuò)為(wèi)安全分(fēn)析的一(yī)部分(fēn)部署下(xià)去，正成為(wèi)越來(lái)越重要的一(yī)項能(néng)力。這(zhè)有點像“調諧”客戶數據類型的叠代循環，但(dàn)成功的解決方案應該是最靈活且最有助于調諧過程的那種。

　　為(wèi)應用安全分(fēn)析，産生(shēng)的結果需要包含像攻擊進展和威脅分(fēn)類之類的符合用戶本地環境的東西(xī)。這(zhè)一(yī)部分(fēn)通常都缺失了(le)，或者留給客戶自己去顯示到自身(shēn)面闆上(shàng)。很多廠商(shāng)的假設是：每個(gè)客戶都養着一(yī)支數據科學家軍隊，可以利用結果向安全分(fēn)析師“描述清楚情況”。顯然，事(shì)實沒那麽簡單。你得縮短評估和部署智能(néng)的、高度可調的适應自身(shēn)安全團隊風(fēng)格的安全分(fēn)析的時(shí)間(jiān)。

　　結論

　　安全分(fēn)析的重要性再怎麽強調也(yě)不為(wèi)過，尤其是在數據洩露事(shì)件繼續頻登頭條，攻擊者漸用針對性新(xīn)方法規避防禦技術的當下(xià)。這(zhè)也(yě)是為(wèi)什(shén)麽，想要成功，你先得理(lǐ)解安全分(fēn)析關(guān)鍵要素的原因——為(wèi)确保你的實現(xiàn)會査訖所有該査訖的條目，而你不會想破腦袋都不知道為(wèi)什(shén)麽你的分(fēn)析解決方案沒能(néng)找出所有該找出的異常。通過實現(xiàn)與以上(shàng)5個(gè)要素緊密挂鈎的安全分(fēn)析解決方案，你就(jiù)能(néng)在挫敗針對你公司的下(xià)一(yī)次攻擊中占據有利位置。(責編：pingxiaoli)