當安全專家試圖調查阻礙企業完善其安全分析程序的絆腳石時，他們發現企業的抱怨似乎有些自相矛盾。一方面，企業表示他們有太多的安全數據，太多類型的數據，這讓他們很難在短時間內對數據進行篩選和分析。另一方面，他們又說，手頭上沒有足夠的數據來作出安全決策。

　　那么，該怎么辦呢?據一些專家稱，這種矛盾可能是因為通過傳統工具(例如日志管理和安全信息及事件管理)收集安全信息和綜合分析的舊模式存在問題。Voodoo Security公司首席顧問兼SANS分析師Dave Shackleford表示，“我記得以前我們作為安全人員時，我們必須走出去，專門要求更多的數據，現在，我們有了非常多的數據，我們有很多類型的數據，并且有各種各樣的格式，并不是所有這些數據都能夠與你的SIEM平臺兼容。”

　　就在最近，SANS發布了其安全分析調查，調查發現，在過去的幾年中，企業在很大程度上依賴于日志管理和安全信息及事件管理平臺，這些平臺無法處理丟給它們的海量數據。與此同時，當該調查詢問受訪者，在發現和跟進攻擊的過程中面臨的最大挑戰是什么時，他們稱最大的問題是他們得到的安全數據與他們需要的安全數據間存在差距。

　　Shackleford表示，企業還表示他們缺乏系統或者漏洞意識，以及圍繞數據的內容來觀察正常數據。他談到，“我們并沒有得到正確的數據。因此，我們仍然覺得缺少關鍵數據集，即使我們有海量數據，如果沒有這些，我們將很難了解基礎設施內真正在發生的事情，這正是分析平臺試圖解決的問題。”

　　之所以企業發現他們面對太多數據，而沒有足夠數據，這是因為他們是在本末倒置的過程中收集信息。Bay Dynamics公司首席技術官Ryan Stolte表示：“壞的假設是，我們應該從數據開始，并集中力量匯集數據，存儲在相同的位置。當你獲得所有的數據時，你會希望從中獲得洞察力，這是一個漫長的昂貴的過程，也是一種本末倒置的方法。”

　　相反地，企業應該首先詢問企業和安全問題，然后尋找能夠解答這些問題的數據。

　　他表示，“在開始獲取數據之前，你需要知道你正在試圖解決的問題，人們花了大量的錢來整合數據，但卻從來沒有計劃他們要對數據做什么。”同時，Stolte表示企業很難對數據采取行動，即使是正確的信息，他們過多地依賴于SIEM。

　　他表示：“這是一個常見的錯誤，即試圖通過SIEM聚合一切事物。但這樣做只能給你提供一個視角，通常會得到海量的信息，而且是不可操作的。”

　　根據Shackleford表示，SANS已經看到有些企業試圖超越SIEM范圍外來分析數據，將數據轉移到更強大的分析技術和平臺。

　　他說道，同時只有10%的企業對其智能和分析能力有信心，“我們確實看到這樣的趨勢，并且市場已經對此有所準備，人們對整合分析技術和智能技術來處理大型數據集有著很大的需求，大多數人仍然在使用傳統技術，仍然使用日志管理和SIEM平臺來處理數據。我認為，現在的分析技術仍然處于起步階段，還有很大的進步空間。”