網(wǎng)絡安全大數(shù)據(jù)時代的呼喚

何靜

顯然，人們知道得越多，就越有見識。但是，在信息量和應該標記采取行動之間存在一個臨界點，尤其是在網(wǎng)絡安全方面。隨著企業(yè)變得更加數(shù)據(jù)驅(qū)動和自動化，IT系統(tǒng)已經(jīng)變得越來越難以監(jiān)控、管理和定義。日常用戶活動產(chǎn)生的“噪音”已達到震耳欲聾的程度。

大數(shù)據(jù)分析經(jīng)常被認為是解決這一問題的靈丹妙藥———通過同樣全面的監(jiān)控系統(tǒng)來應對巨大的挑戰(zhàn)。通過大數(shù)據(jù)解決方案，來自網(wǎng)絡每個角落的安全日志和事件都被輸入到一個中心平臺中。這通常會導致處理的事件數(shù)量驚人———每天多達40 ～50億個事件。

雖然這一級別的細節(jié)是全面的，但它并非沒有挑戰(zhàn)。數(shù)據(jù)越多，噪音就越大，誤報也越多。保持必要活動日志的準確性、正確管理和存儲需要大量的活動部件和持續(xù)的維護，即使人們使用分析和機器學習來完成這項工作。這樣做所需的基礎(chǔ)設(shè)施成本很快就會超過最初監(jiān)控的網(wǎng)絡價值。

精挑細選

即使從理論上講，分析和無監(jiān)督的機器學習可以減輕負擔，但實際上，關(guān)于個人意圖的重要線索通常會被無監(jiān)督的機器學習掩蓋和忽略。因此，令人感興趣的收益仍然很低，分析了數(shù)十億個事件，并且準確警報的發(fā)送率不到1 %。此外，如果增加管理底層技術(shù)的成本和復雜性，以保持機器學習算法的正確運行以及以正確的方式準備數(shù)據(jù)，那么忽略意圖可能會成為一個重大問題。

數(shù)據(jù)背后的實際場景常常丟失。這可能是關(guān)于用戶、設(shè)備、網(wǎng)絡或位置的信息，但作為機器學習過程收集時，通常缺少或沒有鏈接此場景。它可以通過使用諸如記錄鏈接之類的工具部分解決，其中數(shù)據(jù)集中的單個記錄可通過公共標識符進行匹配和組合，然而，重大的假陽性和陰性仍然存在。

另一個基本挑戰(zhàn)是原材料的缺陷，這可能是由于錯誤配置的源日志、事件和遙測造成的。盡管可能有數(shù)以百萬計，甚至數(shù)十億計詳細用戶活動的日志，但理解場景的鏈接常常是不存在的。

可以說，任何安全工具的價值在于它的收益。確定了多少真正的威脅并引起IT團隊注意？借助支持大數(shù)據(jù)的安全工具。因此，在創(chuàng)造價值的同時，就基礎(chǔ)設(shè)施和數(shù)據(jù)中心管理而言，它付出了很高的代價。

這是網(wǎng)絡安全中一個持續(xù)不斷的主題。根據(jù)IDC公司的數(shù)據(jù)，2019年全球支出可能達到1 030億美元，但尚不清楚企業(yè)是否會感到更加安全。由于使用錯誤的信息做出了太多的安全決策，隨著黑客越來越多地以員工為目標，企業(yè)需要考慮如何以不同方式保護自己。盡管有關(guān)網(wǎng)絡和用戶活動的數(shù)據(jù)可以提供有用的洞察力，但最終可操作的信息產(chǎn)出至關(guān)重要。

移到邊緣

解決挑戰(zhàn)的一種方法是通過權(quán)力下放。使分析盡可能地接近需要處理的數(shù)據(jù)，這將有助于減輕不斷移動大型數(shù)據(jù)集的負擔。通過這樣做，IT團隊可以減少他們必須存儲的數(shù)據(jù)量，并特別針對安全性（通常是冗余的）確定優(yōu)先級。隨著更多處理工作在邊緣進行，一旦由中央分析引擎進行優(yōu)化，新的分析方法和更新將能夠迅速推向并傳播到更廣泛的網(wǎng)絡中。

在威脅環(huán)境中，需要一種動態(tài)、自動化的安全方法。通過以一種更分散的方式工作，而不是盡可能擴大網(wǎng)絡范圍，組織將能夠?qū)Ｗ⒂谧柚瓜乱淮喂?，而不必再為上一次攻擊中的恢復而苦惱?/p>