何靜

顯然，人們知道得越多，就越有見(jiàn)識(shí)。但是，在信息量和應(yīng)該標(biāo)記采取行動(dòng)之間存在一個(gè)臨界點(diǎn)，尤其是在網(wǎng)絡(luò)安全方面。隨著企業(yè)變得更加數(shù)據(jù)驅(qū)動(dòng)和自動(dòng)化，IT系統(tǒng)已經(jīng)變得越來(lái)越難以監(jiān)控、管理和定義。日常用戶(hù)活動(dòng)產(chǎn)生的“噪音”已達(dá)到震耳欲聾的程度。

大數(shù)據(jù)分析經(jīng)常被認(rèn)為是解決這一問(wèn)題的靈丹妙藥———通過(guò)同樣全面的監(jiān)控系統(tǒng)來(lái)應(yīng)對(duì)巨大的挑戰(zhàn)。通過(guò)大數(shù)據(jù)解決方案，來(lái)自網(wǎng)絡(luò)每個(gè)角落的安全日志和事件都被輸入到一個(gè)中心平臺(tái)中。這通常會(huì)導(dǎo)致處理的事件數(shù)量驚人———每天多達(dá)40 ～50億個(gè)事件。

雖然這一級(jí)別的細(xì)節(jié)是全面的，但它并非沒(méi)有挑戰(zhàn)。數(shù)據(jù)越多，噪音就越大，誤報(bào)也越多。保持必要活動(dòng)日志的準(zhǔn)確性、正確管理和存儲(chǔ)需要大量的活動(dòng)部件和持續(xù)的維護(hù)，即使人們使用分析和機(jī)器學(xué)習(xí)來(lái)完成這項(xiàng)工作。這樣做所需的基礎(chǔ)設(shè)施成本很快就會(huì)超過(guò)最初監(jiān)控的網(wǎng)絡(luò)價(jià)值。

精挑細(xì)選

即使從理論上講，分析和無(wú)監(jiān)督的機(jī)器學(xué)習(xí)可以減輕負(fù)擔(dān)，但實(shí)際上，關(guān)于個(gè)人意圖的重要線(xiàn)索通常會(huì)被無(wú)監(jiān)督的機(jī)器學(xué)習(xí)掩蓋和忽略。因此，令人感興趣的收益仍然很低，分析了數(shù)十億個(gè)事件，并且準(zhǔn)確警報(bào)的發(fā)送率不到1 %。此外，如果增加管理底層技術(shù)的成本和復(fù)雜性，以保持機(jī)器學(xué)習(xí)算法的正確運(yùn)行以及以正確的方式準(zhǔn)備數(shù)據(jù)，那么忽略意圖可能會(huì)成為一個(gè)重大問(wèn)題。

數(shù)據(jù)背后的實(shí)際場(chǎng)景常常丟失。這可能是關(guān)于用戶(hù)、設(shè)備、網(wǎng)絡(luò)或位置的信息，但作為機(jī)器學(xué)習(xí)過(guò)程收集時(shí)，通常缺少或沒(méi)有鏈接此場(chǎng)景。它可以通過(guò)使用諸如記錄鏈接之類(lèi)的工具部分解決，其中數(shù)據(jù)集中的單個(gè)記錄可通過(guò)公共標(biāo)識(shí)符進(jìn)行匹配和組合，然而，重大的假陽(yáng)性和陰性仍然存在。

另一個(gè)基本挑戰(zhàn)是原材料的缺陷，這可能是由于錯(cuò)誤配置的源日志、事件和遙測(cè)造成的。盡管可能有數(shù)以百萬(wàn)計(jì)，甚至數(shù)十億計(jì)詳細(xì)用戶(hù)活動(dòng)的日志，但理解場(chǎng)景的鏈接常常是不存在的。

可以說(shuō)，任何安全工具的價(jià)值在于它的收益。確定了多少真正的威脅并引起IT團(tuán)隊(duì)注意？借助支持大數(shù)據(jù)的安全工具。因此，在創(chuàng)造價(jià)值的同時(shí)，就基礎(chǔ)設(shè)施和數(shù)據(jù)中心管理而言，它付出了很高的代價(jià)。

這是網(wǎng)絡(luò)安全中一個(gè)持續(xù)不斷的主題。根據(jù)IDC公司的數(shù)據(jù)，2019年全球支出可能達(dá)到1 030億美元，但尚不清楚企業(yè)是否會(huì)感到更加安全。由于使用錯(cuò)誤的信息做出了太多的安全決策，隨著黑客越來(lái)越多地以員工為目標(biāo)，企業(yè)需要考慮如何以不同方式保護(hù)自己。盡管有關(guān)網(wǎng)絡(luò)和用戶(hù)活動(dòng)的數(shù)據(jù)可以提供有用的洞察力，但最終可操作的信息產(chǎn)出至關(guān)重要。

移到邊緣

解決挑戰(zhàn)的一種方法是通過(guò)權(quán)力下放。使分析盡可能地接近需要處理的數(shù)據(jù)，這將有助于減輕不斷移動(dòng)大型數(shù)據(jù)集的負(fù)擔(dān)。通過(guò)這樣做，IT團(tuán)隊(duì)可以減少他們必須存儲(chǔ)的數(shù)據(jù)量，并特別針對(duì)安全性（通常是冗余的）確定優(yōu)先級(jí)。隨著更多處理工作在邊緣進(jìn)行，一旦由中央分析引擎進(jìn)行優(yōu)化，新的分析方法和更新將能夠迅速推向并傳播到更廣泛的網(wǎng)絡(luò)中。

在威脅環(huán)境中，需要一種動(dòng)態(tài)、自動(dòng)化的安全方法。通過(guò)以一種更分散的方式工作，而不是盡可能擴(kuò)大網(wǎng)絡(luò)范圍，組織將能夠?qū)Ｗ⒂谧柚瓜乱淮喂?，而不必再為上一次攻擊中的恢?fù)而苦惱。