如今在信息量與應(yīng)標(biāo)記采取行動之間存在一個臨界點，尤其是在網(wǎng)絡(luò)安全方面。

[[325506]]

顯然，人們知道得越多，就越有見識。但是，在信息量和應(yīng)該標(biāo)記采取行動之間存在一個臨界點，尤其是在網(wǎng)絡(luò)安全方面。隨著企業(yè)變得更加數(shù)據(jù)驅(qū)動和自動化，IT系統(tǒng)已經(jīng)變得越來越難以監(jiān)控、管理和定義。日常用戶活動產(chǎn)生的“噪音”已達到震耳欲聾的程度。

大數(shù)據(jù)分析經(jīng)常被認(rèn)為是解決這一問題的靈丹妙藥——通過同樣全面的監(jiān)控系統(tǒng)來應(yīng)對巨大的挑戰(zhàn)。通過大數(shù)據(jù)解決方案，來自網(wǎng)絡(luò)每個角落的安全日志和事件都被輸入到一個中心平臺中。這通常會導(dǎo)致處理的事件數(shù)量驚人——每天多達40～50億個事件。

雖然這一級別的細(xì)節(jié)是全面的，但它并非沒有挑戰(zhàn)。數(shù)據(jù)越多，噪音就越大，誤報也越多。保持必要的活動日志的準(zhǔn)確性、正確管理和存儲需要大量的活動部件和持續(xù)的維護—即使人們使用分析和機器學(xué)習(xí)來完成這項工作。這樣做所需的基礎(chǔ)設(shè)施成本很快就會超過您最初監(jiān)控的網(wǎng)絡(luò)的價值。

精挑細(xì)選

即使從理論上講，分析和無監(jiān)督的機器學(xué)習(xí)可以減輕負(fù)擔(dān)，但實際上，關(guān)于個人意圖的重要線索通常會被無監(jiān)督的機器學(xué)習(xí)掩蓋和忽略。因此，令人感興趣的發(fā)現(xiàn)的收益仍然很低，分析了數(shù)十億個事件，并且準(zhǔn)確警報的發(fā)送率不到百分之一。此外，如果增加管理底層技術(shù)的成本和復(fù)雜性以保持機器學(xué)習(xí)算法的正確運行以及以正確的方式準(zhǔn)備數(shù)據(jù)，那么忽略意圖可能會成為一個重大問題。

數(shù)據(jù)背后的實際場景常常丟失。這可能是關(guān)于用戶、設(shè)備、網(wǎng)絡(luò)或位置的信息，但在為機器學(xué)習(xí)過程收集時，通常缺少或沒有鏈接此場景。它可以通過使用諸如記錄鏈接之類的工具部分解決，其中數(shù)據(jù)集中的單個記錄通過公共標(biāo)識符進行匹配和組合。然而，重大的假陽性和陰性仍然存在。

另一個基本挑戰(zhàn)是原始材料的缺陷。這可能是由于錯誤配置的源日志、事件和遙測造成的。盡管可能有數(shù)以百萬計，甚至數(shù)十億計的詳細(xì)用戶活動的日志，但理解場景的鏈接常常是不存在的。

可以說，任何安全工具的價值在于它的收益。確定了多少真正的威脅并引起IT團隊注意?借助支持大數(shù)據(jù)的安全工具，典型的大型企業(yè)最多可以管理每10億條日志行5筆的收益。因此，在創(chuàng)造價值的同時，就基礎(chǔ)設(shè)施和數(shù)據(jù)中心管理而言，它付出了很高的代價。

這是網(wǎng)絡(luò)安全中一個持續(xù)不斷的主題。根據(jù)IDC公司的預(yù)測，2019年全球支出將達到1030億美元，但尚不清楚企業(yè)是否會感到更加安全。由于錯誤的原因使用錯誤的信息做出了太多的安全決策。隨著黑客越來越多地以員工為目標(biāo)，企業(yè)需要考慮如何以不同方式保護自己。盡管有關(guān)網(wǎng)絡(luò)和用戶活動的數(shù)據(jù)可以提供有用的洞察力，但最終可操作的信息的產(chǎn)出至關(guān)重要。

移到邊緣

解決挑戰(zhàn)的一種方法是通過權(quán)力下放。使分析盡可能原子地接近需要處理的數(shù)據(jù)，這將有助于減輕不斷移動大型數(shù)據(jù)集的負(fù)擔(dān)。通過這樣做，IT團隊可以開始減少他們必須存儲的數(shù)據(jù)量，并特別針對安全性(通常是冗余的)確定優(yōu)先級。隨著更多處理工作在邊緣進行，一旦由中央分析引擎進行了優(yōu)化，新的分析方法和更新將能夠迅速推向并傳播到更廣泛的網(wǎng)絡(luò)中。

在動態(tài)的威脅環(huán)境中，需要一種動態(tài)、自動化的安全方法。通過以一種更分散的方式工作，而不是盡可能擴大網(wǎng)絡(luò)范圍，組織將能夠?qū)Ｗ⒂谧柚瓜乱淮喂簦槐貫閺纳弦淮喂糁谢謴?fù)而苦惱。