過去一年半時間里，嚴重威脅到公司業務執行能力的安全失敗和數據泄露日益增加，企業需要付出更多努力來阻止此類事件?？蛻舻拿舾薪鹑诤蛡€人信息需要被保護。

作為回應，很多公司現在意識到，需要從內部支撐起對抗在自家網絡中搜尋目標的攻擊者的工作。在過程中，攻擊的數量和種類之多，讓人們意識到：單獨一家公司的IT部門，是不可能從大量潛在問題和可能的攻擊通告中篩出真正的威脅的。即便公司企業在部署下一代防火墻、終端檢測和響應產品，從病毒簽名遷移到宣稱可以填補檢測和駐留時間空白的感染指標(IOC)，警報疲勞也持續困擾諸多的IT安全團隊。

為提升競爭力，公司企業一直在應用安全分析技術。此類技術的前景在于，可以做到IT部門員工做不到的事——審查無窮無盡的數據，標記出你應該關注的真正威脅。

然而，不是所有安全分析解決方案都是生而平等的。有5個關鍵特性，對確保安全分析的有效性和阻擋當下高級威脅的能力非常重要。

一、對任務和數據的極端靈活性

安全分析必須時刻準備好處理任何提交上來的問題。強有力的安全分析必須承擔起比僅檢測簡單入侵的安全軟件更多的責任。它要能適用于任一數據源——無論是網絡、設備、服務器，還是用戶日志等等?？梢詤⒖紨盗魁嫶蠓N類繁多的用例。

然而，僅僅能夠與這些信息來源接駁尚不足夠。安全分析需要處理數據的多種不同特性——從響應時間或次數這種指標，到來自用戶、主機和代理的信息。還需要足夠智能，要能夠檢測像“信標”這樣的模式，以及通信數據包中的高信息含量內容，然后，還得能夠得出分析結論并形成對實際正在發生的事件及發生范圍的洞見。

換句話說，想要成功，安全分析需要能夠使用每種數據源、數據特性和擺在面前的潛在問題，來檢測與高級攻擊相關聯的非常規行為;然后分析這些行為，向用戶呈現分析結果。

二、快速、準確、實時分析

如果實現了真正的安全分析，分析結果的出爐應該很快——近實時地給出結論，讓用戶感覺這一切幾乎是自動發生的。涉及安全問題的時候，數據處理速度非常重要——因為發現問題過程中的任何延遲都能對公司造成巨大損失，尤其是數據泄露正在進行中的時候。

同時，雖然處理速度非常重要，它前面還有一個安全分析過程中最重要的元素：理解所偵獲內容的含義，向終端用戶輸出應關注的重點結論。

隨著要憂心的網絡攻擊數量逐年增加，很容易看出IT經理被標記潛在數據泄露的警報，或其他需要注意的問題折磨得不堪重負。這些問題中很多都不是數據泄露或者需要立即投以關注的;但在大多數基于簽名或定義有誤的IOC的安全軟件看來，每個問題都需要標記，這樣才不會遺漏。這種做法明顯是對利用環境噪音隱匿蹤跡的攻擊者有利。隨著警報疲勞越來越嚴重，分析師們也越來越難以在高級檢測產品吐出的一堆堆警報中篩選出真正有價值的了。

三、前事不忘后事之師

這種情況下，機器學習技術便常出現在人們的談論中了。傳統安全工具和人類終端用戶始終能力有限。每天能夠用來審查警報的時間就那么多，一旦陷入自己篩選重要警報或通知的境地，就已經增加了錯過關鍵通報的可能性。此外，盡管很多公司在SIEM中部署了規則集以輔助過濾高相關度的事件，這也不過是對“什么東西有問題”的靜態理解，與能夠基于檢測出的基線模式識別出異常情況的機制相比，在動態性上完全不具備可比性。

機器學習能將對潛在問題的分析，推進到不僅僅是看出什么東西和得出某些結論的程度。引入機器學習技術之后，安全分析就能看出問題，關聯其嚴重性，然后確保基于數據的概率得分，只分揀出最重要的條目。

機器學習是大多數安全分析中的關鍵部分——它能識別并理解模式、數據的周期性和數據中的異常，從每個實例中學會什么是正常行為，異常值都分布在哪兒。這有助于讓IT經理基于分析得分相關性，知曉該對收到的每個警報做出什么反應，而不是寄希望于他/她選出正確的警報。

四、擴展能力

安全分析應該具備隨公司成長而擴展的能力。隨著公司聲名漸蜚，業務拓展，產生的數據、擁有的客戶和公司業務規模都會一起增長。這意味著被網絡罪犯或黑客盯上的可能性也增加了。但是，也不總是最大的客戶被最先襲擊或被襲擊最多次，是那些對防止和檢測攻擊者準備最不足的公司才會淪為網絡攻擊的最先最頻繁受害者。

安全分析需要能夠處理所有這些實例，并按需求擴展。數據量的增加不應該影響到安全分析解決方案的效能。相反，更多的數據應該為攻擊添加上下文環境，產出對攻擊者技術的恰當識別。

五、易于部署和理解結果

最后一條可被分割成兩項，但其實是一體兩面的東西。市面上基于安全分析的產品越來越多，很多新入者都來自于結合了分析的臨近安全空間(很多情況下都產生了太多數據而導致噪音太大)。部署和理解結果的容易度，歸結于從分析中獲取到價值。

將預先制備并定義好的入侵檢測“配方”作為安全分析的一部分部署下去，正成為越來越重要的一項能力。這有點像“調諧”客戶數據類型的迭代循環，但成功的解決方案應該是最靈活且最有助于調諧過程的那種。

為應用安全分析，產生的結果需要包含像攻擊進展和威脅分類之類的符合用戶本地環境的東西。這一部分通常都缺失了，或者留給客戶自己去顯示到自身面板上。很多廠商的假設是：每個客戶都養著一支數據科學家軍隊，可以利用結果向安全分析師“描述清楚情況”。顯然，事實沒那么簡單。你得縮短評估和部署智能的、高度可調的適應自身安全團隊風格的安全分析的時間。

結論

安全分析的重要性再怎么強調也不為過，尤其是在數據泄露事件繼續頻登頭條，攻擊者漸用針對性新方法規避防御技術的當下。這也是為什么，想要成功，你先得理解安全分析關鍵要素的原因——為確保你的實現會査訖所有該査訖的條目，而你不會想破腦袋都不知道為什么你的分析解決方案沒能找出所有該找出的異常。通過實現與以上5個要素緊密掛鉤的安全分析解決方案，你就能在挫敗針對你公司的下一次攻擊中占據有利位置。