找出配置安全分析的最佳方式，為你的公司產(chǎn)出有意義且具可行性的洞見。

作為IT最新流行詞，“分析”正逐漸滲入IT系統(tǒng)各組件。從用例中收集到關(guān)于數(shù)據(jù)、網(wǎng)絡(luò)和用戶行為的分析，我們對(duì)此信息有著無窮的利用可能。但是，說到鉆研這些數(shù)據(jù)以得出安全決策，這種可能包含陷阱的巨量信息，真的那么有用嗎?為避免掉進(jìn)分析陷阱，安全專業(yè)人士提供了找出最佳安全分析配置方式，以產(chǎn)出有意義且具可行性洞見的建議。

1. 塑造環(huán)境，增加“真警報(bào)”檢測(cè)率

Armor首席安全官杰夫·希林說：“我是‘少數(shù)據(jù)分析’的支持者。我這么說的意思是，你應(yīng)該塑造你的環(huán)境，只去查看那些最有可能是真警報(bào)的事件。在已知威脅觸及你的安全棧之前就將之擋在門外。要做到這一點(diǎn)，你可以利用IP信譽(yù)管理，或者DNS監(jiān)測(cè)/封鎖。這將擋住對(duì)你公司80%的非針對(duì)性攻擊。”

2. 調(diào)整安全事件管理(SIEM)功能

很多安全團(tuán)隊(duì)在處理成千上萬條被自家SIEM認(rèn)為是高危的事件時(shí)舉步維艱，這些所謂的‘高危事件’其實(shí)是誤報(bào)，或者不過是告訴你安全措施正在起效的通知而已(比如：防火墻規(guī)則觸發(fā))。這或許會(huì)需要SIEM提供商的專業(yè)服務(wù)來幫忙，但節(jié)省下來的安全團(tuán)隊(duì)非重要警報(bào)挖掘工時(shí)，卻是很值回票價(jià)的。

把安全團(tuán)隊(duì)的精力放在公司最重要的部分吧。要說服企業(yè)主不是每件事都值得保護(hù)是挺難的，他們自己在告訴你對(duì)自家業(yè)務(wù)部門真正重要的事上也挺掙扎。

3. 在早期階段捕獲威脅

BlueCat首席技術(shù)官安德魯·維特金：隨著安全威脅通過多種攻擊方式不斷進(jìn)化，單純依靠預(yù)防性方法緩解已知風(fēng)險(xiǎn)已不足夠。安全分析已成為在安全事件發(fā)生后進(jìn)行鑒證分析的基本工具。然而，只要使用得當(dāng)，安全分析也可以幫助公司識(shí)別可疑行為，無論是內(nèi)部的還是外部的，并能在潛在風(fēng)險(xiǎn)表現(xiàn)出來之前就主動(dòng)封禁掉，還能對(duì)不斷進(jìn)化的威脅提供早期預(yù)警。

4. 數(shù)據(jù)并非越多越好

Citrix首席安全官斯坦·布萊克：在構(gòu)建安全數(shù)據(jù)池、數(shù)據(jù)云和數(shù)據(jù)集群之前，先搞清自己公司的目的，比如識(shí)別詐騙、內(nèi)部人、惡意行為人、錯(cuò)誤、誤操作等等。先排出預(yù)期結(jié)果的優(yōu)先級(jí)，再去看那些不需要分析的數(shù)據(jù)。技術(shù)不會(huì)從事網(wǎng)絡(luò)犯罪，人才會(huì)。有了這個(gè)認(rèn)知，分析通常始于角色挖掘，基于經(jīng)驗(yàn)量化出用戶能做、可能會(huì)做，或不應(yīng)該做的事，可以建立起一條用戶底線。通過定義“已知良好”，安全分析便能專注在“未知”和“異常”上來發(fā)現(xiàn)潛在威脅。

5. 減少網(wǎng)絡(luò)安全警報(bào)流入

E8 Security 共同創(chuàng)始人兼首席技術(shù)官拉維·德威爾第：建立在全公司通用的閾值/策略上的遺留安全技術(shù)，通常會(huì)造成過多警報(bào)和誤報(bào)。行為建模和對(duì)網(wǎng)絡(luò)中每個(gè)用戶、系統(tǒng)、應(yīng)用、終端制訂基線的安全分析，則會(huì)為公司的威脅預(yù)防工作帶來最高的準(zhǔn)確度。攻擊者行為的檢測(cè)，例如被盜憑證、命令與控制流量、后門、公司內(nèi)網(wǎng)巡游等，將不再迷失在噪音中。

6. 成為威脅獵手

多虧安全分析的使用，威脅狩獵正成為安全運(yùn)營(yíng)的一個(gè)新興領(lǐng)域。其與傳統(tǒng)安全的一個(gè)重要區(qū)別，在于‘威脅狩獵’的目標(biāo)不是檢測(cè)出惡意軟件，而是更傾向于識(shí)別出攻擊者的存在、行為和動(dòng)作，并盡可能快地控制起那些行動(dòng)。安全分析通過提供對(duì)網(wǎng)絡(luò)、用戶、終端和應(yīng)用活動(dòng)中的行為、模式和異常的可見性，而是威脅狩獵成為可能。

7. 利用上下文減少事件響應(yīng)時(shí)間

安全運(yùn)營(yíng)和事件響應(yīng)團(tuán)隊(duì)在調(diào)查安全事件時(shí)需要上下文的幫助。安全分析工具能為安全警報(bào)和事件調(diào)查提供行為情報(bào)上下文。跨多個(gè)數(shù)據(jù)孤島快速互動(dòng)分析當(dāng)前和歷史行為、模式、異常的能力，能帶來更快的事件分析，消除對(duì)技術(shù)資源和手動(dòng)分析(通常使用笨重的SIEM或枯燥的搜索引擎)的依賴。

8. 首先，縮小攻擊范圍，然后，補(bǔ)完分析

Palo Alto Networks 副總裁兼首席信息安全官盧卡斯·穆迪：安全分析帶來了得到更好更有效的檢測(cè)識(shí)別的希望，讓我們能夠快速響應(yīng)威脅，挫敗攻擊者，甚至擺脫攻擊者。雖說是個(gè)宏偉目標(biāo)，這一策略的挑戰(zhàn)卻在于規(guī)模。安全分析作為結(jié)果，必須存在于縮小攻擊范圍的目標(biāo)背后，與威脅預(yù)防的強(qiáng)力戰(zhàn)略性基礎(chǔ)為伍。注重安全的公司，應(yīng)掀起當(dāng)前技術(shù)利用方式的大變革，實(shí)現(xiàn)更強(qiáng)的預(yù)防性控制。這么做，將反過來使得分析能夠以可控可伸縮的方式解決下游風(fēng)險(xiǎn)。強(qiáng)大的威脅分析師很難找到，且他們需要專注在“少量關(guān)鍵威脅”而非“噪音”上。

9. 警惕誤報(bào)

白帽安全公司威脅研究中心副總裁萊恩·奧利：在任何公司里，運(yùn)營(yíng)安全項(xiàng)目中更困難的方面之一，就是從可信來源獲取正確的安全指標(biāo)。很多公司都稱自己能提供安全分析，但很少有公司能提供有意義的經(jīng)驗(yàn)證的安全統(tǒng)計(jì)數(shù)據(jù)。在Web應(yīng)用領(lǐng)域，這種現(xiàn)象尤其突出。主要的問題在于，安全工具常常產(chǎn)出超出想象的大量誤報(bào)。在購買任何分析之前，一定要確保那家公司在拿出統(tǒng)計(jì)數(shù)據(jù)之前先進(jìn)行漏洞驗(yàn)證。另外，問清楚誤報(bào)率，這樣你才可以確定提供商的分析有多準(zhǔn)確。

10. 用分析支持開銷

安全中最困難的部分，在于合理化對(duì)不會(huì)產(chǎn)生任何利潤(rùn)的東西的開支，而分析對(duì)此有所幫助。為合理化開支，你需要知道風(fēng)險(xiǎn)和財(cái)政影響。通過使用分析，你能展示出遭受攻擊的可能性，以及實(shí)現(xiàn)安全并解決問題的開銷。