找出配置安全分析的最佳方式，為你的公司產(chǎn)出有意義且具可行性的洞見。

作為IT最新流行詞，“分析”正逐漸滲入IT系統(tǒng)各組件。從用例中收集到關(guān)于數(shù)據(jù)、網(wǎng)絡(luò)和用戶行為的分析，我們對此信息有著無窮的利用可能。但是，說到鉆研這些數(shù)據(jù)以得出安全決策，這種可能包含陷阱的巨量信息，真的那么有用嗎?為避免掉進(jìn)分析陷阱，安全專業(yè)人士提供了找出最佳安全分析配置方式，以產(chǎn)出有意義且具可行性洞見的建議。

1. 塑造環(huán)境，增加“真警報”檢測率

Armor首席安全官杰夫·希林說：“我是‘少數(shù)據(jù)分析’的支持者。我這么說的意思是，你應(yīng)該塑造你的環(huán)境，只去查看那些最有可能是真警報的事件。在已知威脅觸及你的安全棧之前就將之擋在門外。要做到這一點，你可以利用IP信譽管理，或者DNS監(jiān)測/封鎖。這將擋住對你公司80%的非針對性攻擊。”

2. 調(diào)整安全事件管理(SIEM)功能

很多安全團隊在處理成千上萬條被自家SIEM認(rèn)為是高危的事件時舉步維艱，這些所謂的‘高危事件’其實是誤報，或者不過是告訴你安全措施正在起效的通知而已(比如：防火墻規(guī)則觸發(fā))。這或許會需要SIEM提供商的專業(yè)服務(wù)來幫忙，但節(jié)省下來的安全團隊非重要警報挖掘工時，卻是很值回票價的。

把安全團隊的精力放在公司最重要的部分吧。要說服企業(yè)主不是每件事都值得保護(hù)是挺難的，他們自己在告訴你對自家業(yè)務(wù)部門真正重要的事上也挺掙扎。

3. 在早期階段捕獲威脅

BlueCat首席技術(shù)官安德魯·維特金：隨著安全威脅通過多種攻擊方式不斷進(jìn)化，單純依靠預(yù)防性方法緩解已知風(fēng)險已不足夠。安全分析已成為在安全事件發(fā)生后進(jìn)行鑒證分析的基本工具。然而，只要使用得當(dāng)，安全分析也可以幫助公司識別可疑行為，無論是內(nèi)部的還是外部的，并能在潛在風(fēng)險表現(xiàn)出來之前就主動封禁掉，還能對不斷進(jìn)化的威脅提供早期預(yù)警。

4. 數(shù)據(jù)并非越多越好

Citrix首席安全官斯坦·布萊克：在構(gòu)建安全數(shù)據(jù)池、數(shù)據(jù)云和數(shù)據(jù)集群之前，先搞清自己公司的目的，比如識別詐騙、內(nèi)部人、惡意行為人、錯誤、誤操作等等。先排出預(yù)期結(jié)果的優(yōu)先級，再去看那些不需要分析的數(shù)據(jù)。技術(shù)不會從事網(wǎng)絡(luò)犯罪，人才會。有了這個認(rèn)知，分析通常始于角色挖掘，基于經(jīng)驗量化出用戶能做、可能會做，或不應(yīng)該做的事，可以建立起一條用戶底線。通過定義“已知良好”，安全分析便能專注在“未知”和“異常”上來發(fā)現(xiàn)潛在威脅。

5. 減少網(wǎng)絡(luò)安全警報流入

E8 Security 共同創(chuàng)始人兼首席技術(shù)官拉維·德威爾第：建立在全公司通用的閾值/策略上的遺留安全技術(shù)，通常會造成過多警報和誤報。行為建模和對網(wǎng)絡(luò)中每個用戶、系統(tǒng)、應(yīng)用、終端制訂基線的安全分析，則會為公司的威脅預(yù)防工作帶來最高的準(zhǔn)確度。攻擊者行為的檢測，例如被盜憑證、命令與控制流量、后門、公司內(nèi)網(wǎng)巡游等，將不再迷失在噪音中。

6. 成為威脅獵手

多虧安全分析的使用，威脅狩獵正成為安全運營的一個新興領(lǐng)域。其與傳統(tǒng)安全的一個重要區(qū)別，在于‘威脅狩獵’的目標(biāo)不是檢測出惡意軟件，而是更傾向于識別出攻擊者的存在、行為和動作，并盡可能快地控制起那些行動。安全分析通過提供對網(wǎng)絡(luò)、用戶、終端和應(yīng)用活動中的行為、模式和異常的可見性，而是威脅狩獵成為可能。

7. 利用上下文減少事件響應(yīng)時間

安全運營和事件響應(yīng)團隊在調(diào)查安全事件時需要上下文的幫助。安全分析工具能為安全警報和事件調(diào)查提供行為情報上下文。跨多個數(shù)據(jù)孤島快速互動分析當(dāng)前和歷史行為、模式、異常的能力，能帶來更快的事件分析，消除對技術(shù)資源和手動分析(通常使用笨重的SIEM或枯燥的搜索引擎)的依賴。

8. 首先，縮小攻擊范圍，然后，補完分析

Palo Alto Networks 副總裁兼首席信息安全官盧卡斯·穆迪：安全分析帶來了得到更好更有效的檢測識別的希望，讓我們能夠快速響應(yīng)威脅，挫敗攻擊者，甚至擺脫攻擊者。雖說是個宏偉目標(biāo)，這一策略的挑戰(zhàn)卻在于規(guī)模。安全分析作為結(jié)果，必須存在于縮小攻擊范圍的目標(biāo)背后，與威脅預(yù)防的強力戰(zhàn)略性基礎(chǔ)為伍。注重安全的公司，應(yīng)掀起當(dāng)前技術(shù)利用方式的大變革，實現(xiàn)更強的預(yù)防性控制。這么做，將反過來使得分析能夠以可控可伸縮的方式解決下游風(fēng)險。強大的威脅分析師很難找到，且他們需要專注在“少量關(guān)鍵威脅”而非“噪音”上。

9. 警惕誤報

白帽安全公司威脅研究中心副總裁萊恩·奧利：在任何公司里，運營安全項目中更困難的方面之一，就是從可信來源獲取正確的安全指標(biāo)。很多公司都稱自己能提供安全分析，但很少有公司能提供有意義的經(jīng)驗證的安全統(tǒng)計數(shù)據(jù)。在Web應(yīng)用領(lǐng)域，這種現(xiàn)象尤其突出。主要的問題在于，安全工具常常產(chǎn)出超出想象的大量誤報。在購買任何分析之前，一定要確保那家公司在拿出統(tǒng)計數(shù)據(jù)之前先進(jìn)行漏洞驗證。另外，問清楚誤報率，這樣你才可以確定提供商的分析有多準(zhǔn)確。

10. 用分析支持開銷

安全中最困難的部分，在于合理化對不會產(chǎn)生任何利潤的東西的開支，而分析對此有所幫助。為合理化開支，你需要知道風(fēng)險和財政影響。通過使用分析，你能展示出遭受攻擊的可能性，以及實現(xiàn)安全并解決問題的開銷。