安全管理人員一直在探求改善信息安全的最佳方法。在此過程中，他們發(fā)現(xiàn)成功的秘密就在企業(yè)當中，健全的安全就存在于日志數(shù)據(jù)、元數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)以及大量的其它數(shù)據(jù)中。“只在此山中，云深不知處”。但是，找到適當?shù)臄?shù)據(jù)并得出對IT和企業(yè)來說有意義的科學結(jié)論絕非易事。下面談幾個可以更好地理解IT風險的最佳安全分析方法，使企業(yè)更好地保護資產(chǎn)。

1、不要認為SIEM全面解決了你的安全需要

許多企業(yè)試圖深入地進行安全分析，這就需要重新思考他們進行分析所使用的數(shù)據(jù)。企業(yè)安全團隊也許會確信已經(jīng)全面解決了安全分析問題，因為他們已經(jīng)擁有了SIEM或日志管理，但除了日志之外，安全人員還需要關(guān)注其它的許多數(shù)據(jù)。從包括人力資源記錄到欺詐性數(shù)據(jù)在內(nèi)的一切數(shù)據(jù)在傳統(tǒng)上一般都不屬于IT安全的范圍，但正是這種數(shù)據(jù)與IT的安全數(shù)據(jù)有著非常有意義的結(jié)合點。企業(yè)并沒有充分利用數(shù)據(jù)，沒有充分發(fā)揮數(shù)據(jù)的全部功能。如果企業(yè)能夠真正挖掘環(huán)境中的非結(jié)構(gòu)化數(shù)據(jù)、元數(shù)據(jù)或者環(huán)境外的非結(jié)構(gòu)化數(shù)據(jù)等，將極大地改善安全狀況。

2、不能僅僅關(guān)注關(guān)于攻擊者的數(shù)據(jù)

把重點從SIEM數(shù)據(jù)中轉(zhuǎn)移出來還有另一個目的，因為大量的元數(shù)據(jù)、記錄數(shù)據(jù)以及關(guān)于網(wǎng)絡(luò)的其它數(shù)據(jù)都日益受到安全分析的重視。安全人員應(yīng)更密切地關(guān)注企業(yè)的準備狀態(tài)，而不僅僅重視關(guān)于潛在攻擊者的數(shù)據(jù)。這也是成熟企業(yè)更好更全面地認識企業(yè)風險的一個重要標志。

“知彼知已，百戰(zhàn)不殆”。安全團隊不要僅僅重視分析攻擊者，還要考慮一下自身。在此，不妨遙想一下戰(zhàn)爭年代作戰(zhàn)指揮部的情形。戰(zhàn)爭的謀略家和指揮家們圍繞在一張桌子旁，桌子上擺放著象征著不同物件或人物的模型。此時，他們已經(jīng)獲得了關(guān)于敵方行動的情報，這就像安全管理者獲得SIEM的日志一樣。但對于戰(zhàn)爭游戲，有兩個至關(guān)重要的要素：軍隊部署和地形偵察。如果指揮者不知道自己的軍隊在哪里，作戰(zhàn)指揮部就是在紙上談兵，其決策毫無用處。如果指揮者沒有掌握準確的地形信息，其思考和決策也必然存在巨大誤差。對于信息安全而言，對網(wǎng)絡(luò)的調(diào)查就相當于偵察地形，知道資產(chǎn)、防御及其狀態(tài)就如同明確軍隊部署一樣。對付攻擊者，不能僅看他們在日志中的信息，還要確切地知道企業(yè)的資產(chǎn)是如何組織的，網(wǎng)絡(luò)結(jié)構(gòu)又是怎樣的。毛澤東說“沒有調(diào)查就沒有發(fā)言權(quán)”，對于網(wǎng)絡(luò)安全亦如此。

3、確定企業(yè)的重要問題

在安全團隊尋找日志數(shù)據(jù)之外的其它數(shù)據(jù)源時，在決定衡量和分析哪些方面問題上，企業(yè)在行業(yè)中的地位、業(yè)務(wù)流程、企業(yè)資產(chǎn)等都扮演著重要角色。

在部署安全措施時，不可“抄襲”。對企業(yè)來說，理解自己所處的位置及被攻擊的地方是很重要的。不同的企業(yè)有不同的攻擊者，因而需要制定對付這些攻擊者的具體措施。企業(yè)需要衡量每位員工容易在哪些方面暴露，確定或至少猜測一下關(guān)于企業(yè)數(shù)據(jù)的特征和攻擊者會如何攻擊的特定信息，強化關(guān)于企業(yè)具體業(yè)務(wù)的安全方法。這就是“具體問題具體分析”。

4、關(guān)注關(guān)鍵基礎(chǔ)架構(gòu)的變化

在考慮到企業(yè)需要時，找到應(yīng)當持續(xù)監(jiān)視的關(guān)鍵企業(yè)資產(chǎn)變得相對容易。企業(yè)的關(guān)鍵資產(chǎn)，不管是證書服務(wù)器還是特定的本地驅(qū)動，安全管理者都應(yīng)當監(jiān)視并分析其變化。

可以將變化分為系統(tǒng)變化(或配置變化)以及商業(yè)知識的變化。由于這些關(guān)鍵系統(tǒng)不應(yīng)當有很多變化，所以發(fā)現(xiàn)問題不會花費太多時間。而對變化進行分組可以節(jié)省大量時間。

5、安全分析

企業(yè)用于分析的數(shù)據(jù)越多，就越容易看到數(shù)據(jù)的不完善方面。為了從數(shù)據(jù)中獲得最好的結(jié)論，就需要在前期清理數(shù)據(jù)，而且要認識到在數(shù)據(jù)收集中存在的問題。

在把這些數(shù)據(jù)源組合在一起時，你可能會注意到一些矛盾問題。在你從兩個不同的團隊(這兩個團隊都在公司內(nèi)部獨立工作)收集數(shù)據(jù)時，你要整合這些數(shù)據(jù)，卻發(fā)現(xiàn)這似乎不可能。

分析人員以整合數(shù)據(jù)和評估數(shù)據(jù)源為基礎(chǔ)，可以進一步改善數(shù)據(jù)質(zhì)量和數(shù)據(jù)分析的質(zhì)量。如果將數(shù)據(jù)源組合在一起，分析人員會發(fā)現(xiàn)問題出在哪里，并認識到自己并沒有掃描所有的主機，甚至會發(fā)現(xiàn)有的網(wǎng)絡(luò)竟然不受控制，而且也沒有得到完整的日志。

6、利用企業(yè)內(nèi)部的業(yè)務(wù)情報專家

如果企業(yè)沒有雄厚的財力雇傭數(shù)據(jù)專家去審查和分析安全數(shù)據(jù)，也不必放棄希望。安全分析人員可以請求企業(yè)的業(yè)務(wù)情報團隊幫助進行分析。業(yè)務(wù)情報團隊擁有其自己的數(shù)據(jù)存儲機制，其人員未必受到過信息安全的良好培訓，卻有大量的專業(yè)技術(shù)，當然知道數(shù)據(jù)分析的重點。依靠業(yè)務(wù)情報部門可以使安全分析有一個良好的開端，至少對于安全分析是這樣。

7、牢記安全數(shù)據(jù)也需要保護

安全團隊收集的數(shù)據(jù)和分析信息越多，其資料庫越容易成為攻擊者的目標。隨著安全分析的不斷深入，分析人員必須知道，分析得到的數(shù)據(jù)要比公司數(shù)據(jù)更有吸引力，原因就在于這種數(shù)據(jù)掌握著揭示企業(yè)防御機制的秘密。

如果企業(yè)的安全工具還不如網(wǎng)絡(luò)本身更安全，它就會成為可被攻擊者利用的一個漏洞。例如，基于胖客戶端的工具可以帶來安全威脅，這是因為筆記本電腦上往往攜帶著大量的數(shù)據(jù)，而該種設(shè)備又有可能失竊或被滲透。在數(shù)據(jù)中心找到一個安全位置來存放安全數(shù)據(jù)有助于減少這些漏洞。

當然，以上的方法并非安全問題的最全面的解決之道，卻可給安全團隊提個醒兒，或可在安全分析時助一臂之力。