Roger+A.Grimes+Charles

Bay Dynamics采用數(shù)據(jù)驅動的方法，幫助企業(yè)根據(jù)資產價值來確定并處理真正的安全威脅。

我一直以來都是計算機安全領域數(shù)據(jù)分析的忠實粉絲，過去12年里，CSO Online和InfoWorld上的數(shù)十個專欄充分說明了這一點。用粉絲這個詞來形容我還不足夠強，跟蹤狂可能比較接近。

作為一名從業(yè)30年的計算機安全顧問，我看到我工作過的每一家公司幾乎都無視他們眼前的數(shù)據(jù)，而是尋求那些永遠不可能阻止惡意軟件和黑客攻擊的防御方法。例如，我會告訴他們，他們應該給經(jīng)常使用的軟件打上補丁，以防止被用來向公司發(fā)起攻擊，而他們給我的回答是，要求我給硬盤加密?；蛘?，我會給他們提供一些數(shù)據(jù)，說明他們的員工正在被高級持續(xù)性威脅（APT）進行社會工程攻擊，他們應該很好的對最終用戶進行教育，而他們的回應則是購買更昂貴的主機入侵防護設備。

不論我告訴他們應該做什么，即使給了他們最好的數(shù)據(jù)來支持我的研究結果，即使他們當面同意我的觀點，他們還是做了別的事情。每當我再回到這些公司，發(fā)現(xiàn)他們很少做應該做的最重要的工作——增強他們的計算機安全防御能力。

為什么所有理性的公司都忽略了他們應該做的工作，即使我們雙方都同意他們應該做哪些工作？當您拿出證據(jù)時，一個理性的人不會主動選擇忽略它，對吧？但他們的確這樣做了，即使他們已經(jīng)被徹底攻破了，損失了（或者被罰款）數(shù)百萬美元，即使如果被再次攻破他們將面臨數(shù)百萬美元的罰款。

這使我非常困擾，我想知道為什么這么多的企業(yè)會做出錯誤的決定。我觀察了一百多家各種規(guī)模的公司，并聽取了他們的意見，并詢問每個級別的員工，為什么他們不去做應該做的事情，以便最有效地保護他們的公司。我把我的早期研究成果匯編成了一本白皮書。

從那時起，我的職業(yè)生涯基本上就是把更多的數(shù)據(jù)分析技術應用到計算機安全領域。這是我生活的動力，至少是我職業(yè)生涯的動力。上星期出版的我的第十本書匯集了我的所學——《數(shù)據(jù)驅動的計算機安全防御：您應該使用的計算機安全防御舉措》。如果您不想買這本書，那下載免費的白皮書。我更關心的是傳播理念和解決方案，而不是怎么最賺錢。

發(fā)現(xiàn)Bay Dynamics

我很擅長從我每天收到的很多安全廠商的推銷中快速找出有趣的想法，而且我也一直在尋找那些與我的數(shù)據(jù)驅動想法不謀而合的企業(yè)。所以，想象一下當我知道了Bay Dynamics時，我是何等的驚訝，它是我欣賞的數(shù)據(jù)驅動計算機安全防御企業(yè)的一個縮影。

Bay Dynamics正在做著我過去五年來一直贊揚的、企業(yè)應做的事情——使用自己的數(shù)據(jù)來推動實現(xiàn)自己的最佳防御。如果我早在兩周前就知道了這家企業(yè)，那在我的書里肯定是濃墨重彩。盡管如此，我還是很高興去了解他們的信念和所作所為。

Feris Rifai和Ryan Stolte于2001年聯(lián)合創(chuàng)立了Bay Dynamics。起初，它甚至不是一家網(wǎng)絡安全公司。他們從一開始就進行數(shù)據(jù)分析，但更多的是分析網(wǎng)站上的工作以及各種業(yè)務決策，以達到最佳結果。它不是一家產品或者服務公司。他們只是咨詢。在發(fā)展過程中，他們認識到提出咨詢需求的公司需要的不僅僅是建議。他們想要一種產品，使其咨詢結果能在服務中體現(xiàn)出來。這類產品迅速演變成一種計算機安全產品，如今被稱為Risk Fabric。我還沒有使用過Risk Fabric產品，但從演示以及與首席技術官的交談中，我了解到，它似乎能收集并顯示有助于改進風險決策的數(shù)據(jù)。

發(fā)現(xiàn)資產價值

我向Bay Dynamics的聯(lián)合創(chuàng)始人兼首席技術官Stolte提出了一個問題，他們的數(shù)據(jù)分析能帶來什么：“我們應該把網(wǎng)絡安全作為一個風險管理的問題。人們聽到了太多的威脅方面的討論，以至于不知所措。但是如果把討論轉到風險管理上，我們可以談論可能性和潛在的影響。風險等于‘影響乘以‘漏洞或者‘威脅概率。很多公司都這樣做。而我們把另一個因子‘資產價值放到這一等式中。這是風險中的一個重要的因素?！?/p>

Stolte舉了一個例子，某家企業(yè)最有價值的計算機中有一個“中等風險”的漏洞。很多漏洞管理系統(tǒng)會發(fā)出一份報告，稱此類系統(tǒng)存在中等風險的漏洞。每個人都知道實際情況并非如此，不是最有價值的那臺電腦。

Bay Dynamics所做的是讓某種威脅或者漏洞去攻擊有價值的數(shù)據(jù)和系統(tǒng)，從而推動風險管理。例如，對于一個不含有公司數(shù)據(jù)甚至與公司網(wǎng)絡沒有聯(lián)網(wǎng)但卻存在高風險漏洞的系統(tǒng)，這種系統(tǒng)比前面提到的高風險實例風險要低一些。這只是常識。Bay Dynamics把常見的功能在儀表板、工作隊列和應用程序中自動實現(xiàn)。

世界上沒有哪家企業(yè)有足夠的資源來一次性解決所有問題。每家企業(yè)都必須決定先做什么，后做什么。Bay Dynamics幫助企業(yè)使用自己的數(shù)據(jù)，更好地確定合理的風險優(yōu)先事項。Stolte說：“我們決定推出產品并建立模型來幫助人們更好地管理他們的業(yè)務。我們可以幫助他們確定真正的漏洞有哪些，從而有助于采取行動。”

計算機安全公司通常給不出令人高興的解釋原因。大部分公司只是針對具體問題給出“打地鼠式”的解決方案，往往很容易繞過這些問題，或者全是誤報。Bay Dynamics解決了這些問題。他們知道怎樣使用數(shù)據(jù)來高效地解決重點安全問題。其他規(guī)模較大的公司也開始注意到這一點。

Bay Dynamics去年七月開始與賽門鐵克合作，該公司稱其“信息中心分析”這款產品是由Bay Dynamics提供的支持。Comcast公司是Bay Dynamics的客戶，該公司最近因其Risk Fabric支持的Risk項目Cyber Value而獲得了三項大獎（CSO50和兩項ISE獎）。

簡而言之，Bay Dynamics通過更好、更常見的風險模型收集并分析數(shù)據(jù)，幫助客戶更好地決定首先應關注什么。我在最近的一本書中用了十個章節(jié)的篇幅介紹了他們在幾分鐘內便能夠讓您學會的一些關鍵內容。

很高興看到數(shù)據(jù)分析應用得如此之好。我所喜歡的計算機安全供應商是那種能夠幫助其他公司更好地收集和使用他們自己的數(shù)據(jù)來加強防御的供應商。沒有一家公司是完美的，也沒有哪家公司擁有萬能的解決方案，但Bay Dynamics應該是您的候選。endprint