東拉西扯 | 數據驅動安全才剛剛開始，未來還有無限的空間

北京，湖邊秋景。2018年10月

2013年RSA信息安全大會的主題是「Mastering data. Securing the world」（掌控數據，保護世界），自此數據分析開始被安全行業所重視。在國內隨著大數據、機器學習等技術的發展，以及國家對網絡安全態勢感知的政策要求，大數據安全分析廣泛地被應用在SOC/SIEM、態勢感知以及下一代安全產品與解決方案中。

大數據安全分析的好處是顯而易見的，一方面是能夠對已知威脅進行精準定位，解決傳統單點設備誤報率過高的問題，將有價值的安全告警從海量噪聲中數據中提煉出來；另外一方面是能夠對高級威脅進行深度檢測，這裡所謂的「高級威脅」可以理解為傳統安全設備無法檢測的威脅，包括未知威脅和潛在威脅兩種。

只有能夠對已知威脅進行精準定位、對未知威脅進行深度檢測，並在此基礎上不斷地豐富安全事件場景、提高安全運營決策輔助能力，才能為安全監測、通報預警、應急處置、態勢感知提供一個堅實的基礎，也只有這樣才能將安全監控、安全運維、安全審計打通成為一個整體的安全運營中心。

大數據安全分析與風險管理中的KRI風險監測類似，即通過量化的數據進行跟蹤測量，反應安全狀況、預測風險趨勢、識別風險徵兆。將安全由定性向定量轉變、由事後向事前轉變、由孤立向聯繫轉變。從而擺脫安全被動防護困境，做到真正的主動安全防禦。

風險監測：用數字掌控風險

理論上來講，大數據安全分析應該像星際戰艦一樣，一切都應該是數位化、指標化的，戰艦的一切行動都可以依據自身數據狀態來進行決策。然而很遺憾目前沒有哪家機構能做到這一步，目前來講應該可以理解為是一輛汽車的各種儀錶盤，有很重要的參考意義，但是還需要結合路況環境來綜合進行決策。

現實與理想之所以有這樣的差距，主要是技術發展還需要很長一段時間過程，「數據驅動安全」才只是剛剛開始，需要持久的資源投入與長期精益求精的堅持。目前需要解決的問題短板包括以下幾個方面：

首先，數據類型還不夠全。數據類型不夠全的原因，或是資產、漏洞、配置、威脅、事件、流量、情報等沒有全部接入，沒有全部接入當然數據源就是不全的；或是很多高級別的單點防護設備（如EDR、DLP、蜜罐等）沒有建設，沒有防護設備那自然不會有這部分的安全數據。

其次，數據質量還不夠高。數據質量不夠高的原因，或是資產、漏洞等數據顆粒度太粗、關聯度不夠，比如資產無法識別到組件，資產版本無法與漏洞信息關聯等；或是威脅、事件、情報數據存在大量的噪聲，數據的精準度無法控制在可接受範圍之內。

最後，安全分析還不夠深入。以目前市場上現有的產品和解決方案來看，能夠將資產、用戶、情報，漏洞、配置、威脅，日誌、流量、告警各要素有效整合的目前還沒有。同時，關聯分析、機器學習在安全檢測、威脅追蹤等的應用還有很大的改善空間，還無法改變依賴經驗豐富的安全分析人員的現狀。

總體來看，大數據安全分析目前還處於起步階段，未來有很大的技術與業務增長空間，這也是為什麼不管是安全大廠還是創業公司都投入這個領域的原因。未來誰能把以上瓶頸問題解決，真正幫助客戶將線下安全工作整合到線上安全運營，誰就能夠笑到最後。

讓我們拭目以待吧！