[[155866]]

尋找一名具有數(shù)據(jù)研究經(jīng)驗的安全分析師以應對現(xiàn)代威脅，就如同尋找一只傳說中的獨角獸。這人兒壓根就不存在。可這是真的么？

三大技能來當安全分析師

最近在金融、醫(yī)療、外賣等行業(yè)層出不窮的數(shù)據(jù)泄露事件向我們揭示了現(xiàn)代網(wǎng)絡犯罪新特點：精于發(fā)現(xiàn)以及利用漏洞（哪怕是最細微的安全缺口）。對于惡意活動來說，檢測總是來的慢那么半拍，而公司及客戶卻已為此付出了沉重的代價。

商界領袖開始尋求更多的首席信息安全官（CISOs）及其他安全工作人員，這點已不足為奇，他們想要組織和資產(chǎn)得到有力的保護。而他們?yōu)榧訌娋W(wǎng)絡安全開始越來越多地利用與整合安全分析。因此，安全分析師們需要以下三個技能：

1、安全專業(yè)知識：安全分析師必須理解安全數(shù)據(jù)、事件響應、攻擊向量以及更多；

2、數(shù)據(jù)科學專業(yè)知識：安全分析師需要先進的分析技巧，例如使用機器學習、預測分析算法以及知道如何準備分析數(shù)據(jù)；

3、MapReduce/Spark/Storm/Hive/Pig 專業(yè)知識：安全分析師必須能夠編碼大量的大數(shù)據(jù)工具，來優(yōu)化千兆字節(jié)的數(shù)據(jù)分析。

盡管我可以很有信心地告訴你找一個精通所有領域的安全分析師就像找獨角獸，這樣的人不存在！而事實上，在安全領域找一個只懂其中一個專業(yè)的安全專家，也是不可能的。

未來的挑戰(zhàn)

因為隱形網(wǎng)絡攻擊能夠進行幾個星期、幾個月甚至更長時間而不被發(fā)現(xiàn)，安全分析師則必須能夠在那漫長的時期內(nèi)識別和分析攻擊類型。他們還必須能夠運用視覺想象把“點與點”間的數(shù)據(jù)進行聯(lián)系，并且從常規(guī)中識別出攻擊活動。

另一個問題是每天有成千上萬的安全事件針對組織機構發(fā)布警告——大多數(shù)都不是惡意或者有針對性的攻擊活動。而區(qū)分真正有針對性的攻擊和無惡意事件是極其有難度的，除非安全分析師具備相應的技能與能使他們成為入門級數(shù)據(jù)專家的工具。

當安全分析師能夠就大數(shù)據(jù)提出一個不錯的問題，他們便可以發(fā)現(xiàn)攻擊序列并且更好地理解這些事件對于業(yè)務的影響。

安全分析師具有這些技能后可以更好地運用在他們的安全領域：分析安全事故、發(fā)現(xiàn)威脅根源并且能夠在對手挖出具有更高價值的漏洞前將其識破。

因此，分析師希望利用大數(shù)據(jù)來應對現(xiàn)代戰(zhàn)斗中的威脅，至于仍需磨練的數(shù)據(jù)探索，則可以遵循以下：

確定攻擊的順序：安全分析師需要分析數(shù)據(jù)周圍事件的異常，通過把信息、用戶及業(yè)務應用數(shù)據(jù)包括到內(nèi)容中去，他們便可得出一個安全事件影響的結(jié)論。

提許多問題并迅速得到答案：安全分析師必須進行基于假設和猜想的安全研究調(diào)查。他們要根據(jù)需求提出盡可能多的問題，然后得到快速響應，并迅速將研究焦點集中于這些響應上面。

從大量數(shù)據(jù)中獲得見解：在許多組織中，IT、用戶和業(yè)務應用程序的安全事件和審計日志數(shù)據(jù)每天累計可達10TB?？紤]到一個數(shù)據(jù)泄露時間大致為243天，安全分析師需要對十二個月內(nèi)的千兆字節(jié)數(shù)據(jù)進行異常和模式檢測。

將安全事件轉(zhuǎn)化為業(yè)務影響：安全分析師需要對IT、用戶及業(yè)務應用程序數(shù)據(jù)及安全事件數(shù)據(jù)有一個集中的掌握。多結(jié)構數(shù)據(jù)必須共處在一個數(shù)據(jù)庫中進行轉(zhuǎn)化或聯(lián)系，這樣安全調(diào)查結(jié)果便是其對業(yè)務影響的結(jié)果。

尋找獨角獸

獨角獸是神話里的一種動物，但深知安全領域?qū)I(yè)知識的安全分析師絕對是存在在現(xiàn)實社會中的。當一個懷揣“十八般武藝”的安全分析師研究大數(shù)據(jù)安全分析時，你的企業(yè)便可掌握一個完整的網(wǎng)絡和技術安全風險脈絡，并能更快地檢測和緩解可能存在的網(wǎng)絡攻擊。