安全管理人員需要負(fù)責(zé)提高企業(yè)的安全監(jiān)控、分析、操作和業(yè)務(wù)支持。他們面臨的最大挑戰(zhàn)之一是實(shí)現(xiàn)更多的效果，特別是面對(duì)近期增加的數(shù)據(jù)泄露風(fēng)險(xiǎn)以及攻擊者繞過現(xiàn)有安全控制的能力，作為企業(yè)的安全管理人員，他們應(yīng)該怎么做呢?

通常情況下，安全有效性是由企業(yè)阻止已知和未知威脅的能力來衡量。為了防止攻擊者利用漏洞來發(fā)動(dòng)攻擊，企業(yè)通常會(huì)依賴于部署安全控制和安全工具。然而，從最近的Target數(shù)據(jù)泄露事故來看，這不再是有效的可擴(kuò)展的方法。根據(jù)媒體報(bào)道，Target不僅部署了常用安全控制，還有高級(jí)的安全工具，在接近實(shí)時(shí)檢測到了最初的數(shù)據(jù)泄露。問題在于，來自其最佳工具的數(shù)據(jù)沒有及時(shí)被處理和關(guān)聯(lián)來阻止這個(gè)網(wǎng)絡(luò)歷史上最大的第三方數(shù)據(jù)泄露事故。

Target這樣的情況并不少見。很多企業(yè)部署了最佳工具，但仍然依賴于手工流程來分析成堆的日志。這也難怪，關(guān)鍵問題沒有及時(shí)得到解決。根據(jù)Verizon 2013年數(shù)據(jù)泄露調(diào)查報(bào)告顯示，69%的數(shù)據(jù)泄露是由第三方發(fā)現(xiàn)，而不是通過內(nèi)部資源。需要分析的安全數(shù)據(jù)的規(guī)模已經(jīng)非常大，非常復(fù)雜，難以管理。這可能需要幾個(gè)月甚至幾年來拼湊出一個(gè)可操作的視圖。

為了處理這些數(shù)據(jù)，我們必須收集所有必要的數(shù)據(jù)來分析出高級(jí)持續(xù)威脅或復(fù)雜網(wǎng)絡(luò)攻擊的指標(biāo)。大數(shù)據(jù)集可以分析特定行為，但還有一些真正的技術(shù)需要克服。

根據(jù)Gartner表示，這些數(shù)據(jù)可以有效檢測到高級(jí)攻擊，并且支持新的業(yè)務(wù)計(jì)劃，這些數(shù)據(jù)在未來五年將會(huì)迅速增長，到2016年，企業(yè)信息安全企業(yè)分析的數(shù)據(jù)量將會(huì)翻一倍。到2016年，40%的企業(yè)將會(huì)積極分析至少10TB的數(shù)據(jù)以獲取信息安全情報(bào)，比2011年減少3%。

因此，盡管安全涉及到大數(shù)據(jù)，提高安全有效性的第一步是覆蓋范圍。在過去，很多企業(yè)依賴于采樣和時(shí)間點(diǎn)評(píng)估來驗(yàn)證安全控制的存在和效力。鑒于現(xiàn)在安全威脅的速度和復(fù)雜性，這種風(fēng)格的控制保障已經(jīng)過時(shí)。為了提高安全進(jìn)程，我們需要持續(xù)收集和分析相關(guān)數(shù)據(jù)以測試安全控制的有效性。這也是為什么我們看到法律法規(guī)中增強(qiáng)了對(duì)安全控制連續(xù)診斷的要求，例如PCI DSS 3.0、NIST SP 800-137。

除了控制評(píng)估的頻率，企業(yè)需要擴(kuò)大其覆蓋范圍，從阻止威脅擴(kuò)大到包含防止數(shù)據(jù)泄露。在最后，網(wǎng)絡(luò)攻擊的真正危害在于數(shù)據(jù)泄露，而不在于漏洞利用。

最后，但并非最不重要的，覆蓋范圍需要擴(kuò)展到內(nèi)部網(wǎng)絡(luò)和端點(diǎn)之外，應(yīng)該包含分散的網(wǎng)頁內(nèi)容、社交媒體渠道、移動(dòng)平臺(tái)以及第三方基礎(chǔ)設(shè)施。雖然這提高了安全中大數(shù)據(jù)的挑戰(zhàn)，但網(wǎng)絡(luò)犯罪并不是單維的，并且需要一個(gè)集成的網(wǎng)絡(luò)安全架構(gòu)，涵蓋網(wǎng)絡(luò)、終端和安全分析。

這種預(yù)防性的積極主動(dòng)模型是基于互聯(lián)安全和IT工具，以及持續(xù)監(jiān)控和評(píng)估它們產(chǎn)生的數(shù)據(jù)。這里的目標(biāo)是實(shí)現(xiàn)一個(gè)閉環(huán)的自動(dòng)修復(fù)的過程。

連續(xù)安全監(jiān)控包括自動(dòng)化數(shù)據(jù)分類、技術(shù)控制一體化、自動(dòng)化合規(guī)測試、部署評(píng)估調(diào)查，以及自動(dòng)化數(shù)據(jù)的整合。通過利用通用控制框架，企業(yè)可以減少重復(fù)，提高數(shù)據(jù)收集以及數(shù)據(jù)分析的精確度，并減少多余的勞動(dòng)密集型努力達(dá)75%。

這種方法允許提高數(shù)據(jù)評(píng)估的頻率(例如每周一次)，并需要安全數(shù)據(jù)自動(dòng)化，通過從不同來源(例如安全信息和事件管理、資產(chǎn)管理、威脅情報(bào)和漏洞掃描程序)聚合和整合數(shù)據(jù)。其有點(diǎn)事態(tài)勢感知能力，這可以幫助及時(shí)發(fā)現(xiàn)漏洞利用和威脅，以及歷史趨勢數(shù)據(jù)來幫助預(yù)測安全事件。最終，這種模式可以顯著提高企業(yè)的安全有效性。