惠普安全負責人表示，企業目前的安全工作完全放錯了位，他們只是一味關注如何阻止罪犯，而不是把精力集中于如何第一時間發現入侵者。

研究表明，企業86%的安全開支用于防止黑客入侵上，惠普高級副總裁兼企業安全產品總經理Art Gilliland說道。但入侵者潛入公司電腦以后，平均416天才會被發現。

“因此，這些不良分子一年到尾都在公司內，目前系統根本不足以發現它們。甚至公司還不是自己發現它們的;94%情況下都是由別人告訴它，”Gilliland說。

“想要驅逐這些壞分子還真是困難，因為一開始你就沒意識到他們的存在。你根本不知道他們在哪里。你嘗試修復被盜數據，但壞分子可能無所不在。他們究竟隱藏在哪里呢?我們最近的研究表明，相比2年前，現在需要71%的額外時間才能發現這些家伙，”他說。

入侵階段

據Gilliland，答案就是停止把所有資源用于阻止入侵上，重新分配資源到各個入侵階段。

“把每個入侵階段都看做建立防御的立足點。我認為短期內最有希望實現的目標是，在對方入侵但尚未盜取數據時，第一時間將其擒拿，”他說。

Gilliland稱，入侵過程可分為5個獨立連鎖階段，該想法最初由Lockheed Martin提出。第一階段是研究，也就是潛在入侵者研究系統和員工的階段，由于員工們通常對Facebook情有獨鐘，該階段對入侵者來說相對簡單。

第二階段為滲透，也就是罪犯入侵階段。然后是第三階段：發現，主要是通過探索內部環境以調查系統安全，并確定最敏感數據位置。第四階段是捕獲。

“90%情況下，入侵者盜取的都是智力財產或客戶數據或某種信息。有時也伴隨著明顯的物理破壞，但很罕見，我記憶中，過去5到10年一共發生了3起物理破壞事件。蠕蟲病毒，火焰病毒，一般就是這類型技術---通常都是網絡戰技術，而不是典型的犯罪，“Gilliland說。

最后的階段就是滲出。“這是“清除數據”的花哨軍事術語。入侵數據可以以電子加密的方式，通過43端口和SSL通信口輸出- 那是很難發現的。或者，如果我知道市場營銷組有很不錯的客戶數據，我也可以入侵并竊取幾臺筆記本電腦，“他說。

如果安全投資集中在入侵過程的第二階段，那么企業將不可避免變得十分脆弱，尤其是在入侵者竊取前的第三階段。

“如果你細細打量當今的入侵類型，你會發現，他們通常以損害用戶認證信息的形式出現。他們偷走我的密碼，然后模仿我的行為，所以你迫切希望找出這些非尋常行為，”Gilliland說。

“我做事有章可循，如果我表現異常時，你就應該好好調查一番了。”

為分析大數據而設的工具，就是用于此，Gilliland說。

“在安全性方面，我們研究大數據已經很長時間了。我們只是沒有新工具。柱狀數據庫的構建， MapReduce以及一些新型技術的使用等，這些方法使得我們不僅能夠整合技術數據，還可以整合用戶和信息流數據，”他說。

“以前我們根本不可能做到這點，因為你將不得不消耗大量數據，等到系統成功制出所需數據后，就已經太晚了。”

運營團隊的安全專業知識

然而，盡管大數據技術可助安全系統更快作出響應，但大多數企業面臨的真正挑戰在于，技術使用者和安全運營團隊的專業知識是否能勝任。

“這些技術不像防火墻或殺毒等阻斷技術，它們不能自動運行。這就好比車道上停著輛豪華跑車，汽油全滿，車頭燈也開著了 - 我們可以幫助你做到這點，我們可以幫忙部署，并把車放在那里，但如果你不上車，不駕駛它周游列國，那也是于事無補，“Gilliland說。

“是的，我們可以把它設計成自駕車，這樣行駛起來更加便利，但該技術其實都很簡單。如果你真想找到有能力的對手，那你要必須先學會開車，然后帶上你的愛車去越野，但你必須要自己駕駛它啊!”