當(dāng)安全專家試圖調(diào)查阻礙企業(yè)完善其安全分析程序的絆腳石時(shí)，他們發(fā)現(xiàn)企業(yè)的抱怨似乎有些自相矛盾。一方面，企業(yè)表示他們有太多的安全數(shù)據(jù)，太多類型的數(shù)據(jù)，這讓他們很難在短時(shí)間內(nèi)對(duì)數(shù)據(jù)進(jìn)行篩選和分析。另一方面，他們又說，手頭上沒有足夠的數(shù)據(jù)來作出安全決策。

　　那么，該怎么辦呢?據(jù)一些專家稱，這種矛盾可能是因?yàn)橥ㄟ^傳統(tǒng)工具(例如日志管理和安全信息及事件管理)收集安全信息和綜合分析的舊模式存在問題。Voodoo Security公司首席顧問兼SANS分析師Dave Shackleford表示，“我記得以前我們作為安全人員時(shí)，我們必須走出去，專門要求更多的數(shù)據(jù)，現(xiàn)在，我們有了非常多的數(shù)據(jù)，我們有很多類型的數(shù)據(jù)，并且有各種各樣的格式，并不是所有這些數(shù)據(jù)都能夠與你的SIEM平臺(tái)兼容。”

　　就在最近，SANS發(fā)布了其安全分析調(diào)查，調(diào)查發(fā)現(xiàn)，在過去的幾年中，企業(yè)在很大程度上依賴于日志管理和安全信息及事件管理平臺(tái)，這些平臺(tái)無法處理丟給它們的海量數(shù)據(jù)。與此同時(shí)，當(dāng)該調(diào)查詢問受訪者，在發(fā)現(xiàn)和跟進(jìn)攻擊的過程中面臨的最大挑戰(zhàn)是什么時(shí)，他們稱最大的問題是他們得到的安全數(shù)據(jù)與他們需要的安全數(shù)據(jù)間存在差距。

　　Shackleford表示，企業(yè)還表示他們?nèi)狈ο到y(tǒng)或者漏洞意識(shí)，以及圍繞數(shù)據(jù)的內(nèi)容來觀察正常數(shù)據(jù)。他談到，“我們并沒有得到正確的數(shù)據(jù)。因此，我們?nèi)匀挥X得缺少關(guān)鍵數(shù)據(jù)集，即使我們有海量數(shù)據(jù)，如果沒有這些，我們將很難了解基礎(chǔ)設(shè)施內(nèi)真正在發(fā)生的事情，這正是分析平臺(tái)試圖解決的問題。”

　　之所以企業(yè)發(fā)現(xiàn)他們面對(duì)太多數(shù)據(jù)，而沒有足夠數(shù)據(jù)，這是因?yàn)樗麄兪窃诒灸┑怪玫倪^程中收集信息。Bay Dynamics公司首席技術(shù)官Ryan Stolte表示：“壞的假設(shè)是，我們應(yīng)該從數(shù)據(jù)開始，并集中力量匯集數(shù)據(jù)，存儲(chǔ)在相同的位置。當(dāng)你獲得所有的數(shù)據(jù)時(shí)，你會(huì)希望從中獲得洞察力，這是一個(gè)漫長(zhǎng)的昂貴的過程，也是一種本末倒置的方法。”

　　相反地，企業(yè)應(yīng)該首先詢問企業(yè)和安全問題，然后尋找能夠解答這些問題的數(shù)據(jù)。

　　他表示，“在開始獲取數(shù)據(jù)之前，你需要知道你正在試圖解決的問題，人們花了大量的錢來整合數(shù)據(jù)，但卻從來沒有計(jì)劃他們要對(duì)數(shù)據(jù)做什么。”同時(shí)，Stolte表示企業(yè)很難對(duì)數(shù)據(jù)采取行動(dòng)，即使是正確的信息，他們過多地依賴于SIEM。

　　他表示：“這是一個(gè)常見的錯(cuò)誤，即試圖通過SIEM聚合一切事物。但這樣做只能給你提供一個(gè)視角，通常會(huì)得到海量的信息，而且是不可操作的。”

　　根據(jù)Shackleford表示，SANS已經(jīng)看到有些企業(yè)試圖超越SIEM范圍外來分析數(shù)據(jù)，將數(shù)據(jù)轉(zhuǎn)移到更強(qiáng)大的分析技術(shù)和平臺(tái)。

　　他說道，同時(shí)只有10%的企業(yè)對(duì)其智能和分析能力有信心，“我們確實(shí)看到這樣的趨勢(shì)，并且市場(chǎng)已經(jīng)對(duì)此有所準(zhǔn)備，人們對(duì)整合分析技術(shù)和智能技術(shù)來處理大型數(shù)據(jù)集有著很大的需求，大多數(shù)人仍然在使用傳統(tǒng)技術(shù)，仍然使用日志管理和SIEM平臺(tái)來處理數(shù)據(jù)。我認(rèn)為，現(xiàn)在的分析技術(shù)仍然處于起步階段，還有很大的進(jìn)步空間。”