截至2022年底，全球互聯網用戶數量已經超過50億。在用戶數量快速增長的同時，網絡中的設備和應用也在持續不斷增加，這些都導致了網絡系統會產生更加龐大的數據。而當企業正在產生的數據超出他們所能收集和分析的數據量時，企業就無法及時檢查這些數據中是否存在可能導致安全威脅的隱患和漏洞，并最終遭受巨大的財務和商譽損失。

為了在大數據時代更有效的開展大規模威脅檢測活動，企業安全團隊需要不斷改進和完善現有的安全威脅檢測方法，確保威脅檢測工作的可擴展性、靈活性和檢測效率。在此過程中，可能會面臨以下六個挑戰。

挑戰1：實現大規模的可見性監控

全球各地的企業組織都在將業務系統向云計算轉移，安全運營團隊需要能夠跟上這種發展的步伐。在此過程中，一些傳統的安全監控設備（比如傳統SIEM系統等），可能會無法適應云環境中的監控要求，安全團隊需要尋找新一代的安全監控工具，不僅可以管理大批產生的數據，同時降低安全運營成本。

企業在擴展安全可見性監控的規模時，應該首先認清到他們在當前威脅分析過程中的不足和成本。這樣在設計新一代威脅檢測系統時，重點關注那些薄弱的度量指標，從而實現安全監控能力的提升。

挑戰2：自動化技術的應用

通過自動化手段可以讓安全團隊將注意力集中在更繁重的任務上，如果方法得當，還可以節省運營支出。這意味著花在低價值的簡單手動任務上的時間和資源會更少，為處理高價值的任務節約了時間。但是，企業在開始采用自動化威脅檢測工具時，往往會面臨很多困惑，包括需要對什么工作進行自動化，以及如何評價自動化的工作質量等。

對于那些已經習慣了全手動化工作的安全團隊來說，沒必要一下子全部實現自動化模式的升級。依賴現有的內部資源常常可以更快地踏上自動化之路。當安全分析師逐步了解如何利用自動化工具開展日常工作時，不僅會看到減少手動工作的好處，還會進一步發現自動化能力后續完善的需求。

挑戰3：安全警報泛濫

隨著數字化應用的不斷深入和各種安全工具的不斷應用，企業安全運營團隊面對的安全威脅告警注定會不斷增加，其增速通常會超過團隊自身能力的成長。雖說通過自動化手段可以簡化警報、縮短跟進處理時間，但任何CISO都不希望看到其團隊將時間浪費在類似密碼誤輸入引起的登錄失敗上。因此，企業需要思考如何有效關聯和分析大規模的安全事件數據，消除誤報信息，發現真正的威脅活動。目前，市場上大多數的安全檢測工具還難以將各種看似獨立的事件關聯起來綜合分析。CISO需要在預算有限的情況下動用一切資源，確保在重大危害發生前洞悉企業整體的安全威脅狀況。

挑戰4：數據過載

由于數據量的不斷增加，企業安全團隊如今面臨數據過載的挑戰，而且這種情況會越來越嚴重。為了有效處理龐大的數據，企業要注意應該重點收集那些高價值、高質量的數據，并確保這些數據在檢測和響應管道中被充分使用。如果數據質量不好，或者沒有實際用途，就可以先不采集，這助于節省資金和處理周期。

挑戰5：掌握軟件編程技術

檢測即代碼對現代安全團隊的高效工作有很多好處。如果能夠根據自己的要求編寫檢測與警報代碼，安全團隊就可以實現更高的穩定性、預測性和擴展性。但這需要威脅檢測分析師投入時間和精力來學習至少一門編程語言。

事實上，掌握像Python之類的編程語言比想象中的容易得多，這對安全團隊來說是一項意義重大的技能。不斷實踐是學習編程技能的最好方法。在實際工作中，威脅檢測分析師可以從基于實際案例的簡單編程工作入手，查閱編程教學網站或其他實用的資源，了解如何編寫切實可行的程序。

挑戰6：安全運營團隊能力不足

如今，企業很難招聘到在網絡安全威脅檢測方面受過良好培訓、經驗豐富的從業人員，因此被迫雇傭更多缺乏從業經驗的分析師。這些分析師需要較長時間的業務培訓和經驗積累，才能勝任崗位。因此，有條件的企業應該積極部署應用新一代TDIR（威脅檢測調查與響應）平臺，在提供自動化能力同時，還可以提供更完善的上下文信息，彌補安全分析師經驗上的不足。

企業不僅需要新的工具來洞見威脅，還應該奉行持續創新和優化發展的工作心態。如果安全團隊擁有合適的工具和方法流程支持，并保持積極主動的威脅檢測狀態，就能夠不斷提升自身的威脅檢測能力和防護效果。