安全遙測正在興起，但獲取洞見性及可運營化的數(shù)據(jù)依然困難，很多企業(yè)在這方面是落后于時代的。我們需要全行業(yè)的努力來扭轉(zhuǎn)這種局面。

安全團隊如今收集的數(shù)據(jù)可謂海量。企業(yè)戰(zhàn)略集團(ESG)的研究表明，38%的企業(yè)每個月安全運營中要收集、處理和分析10TB以上的數(shù)據(jù)。都是什么類型的數(shù)據(jù)呢?最大的數(shù)據(jù)源包括：防火墻日志、其他安全設(shè)備的日志數(shù)據(jù)、網(wǎng)絡(luò)設(shè)備的日志數(shù)據(jù)、反病毒(AV)工具產(chǎn)生的數(shù)據(jù)、用戶活動日志、應(yīng)用日志等等。

值得指出的是，收集來的安全數(shù)據(jù)數(shù)量每年都在增長。事實上，28%的企業(yè)稱現(xiàn)在比2年前收集、處理和分析的數(shù)據(jù)量多了很多，而另外49%的企業(yè)稱當(dāng)前處理數(shù)據(jù)量比2年前多了一些。

總的來說，這種對安全數(shù)據(jù)的癡迷是件好事兒。大堆數(shù)據(jù)中總會藏著少量有價值的精華。那么理論上，數(shù)據(jù)越多，等于精華越多。

然而，不幸的是，數(shù)據(jù)越多，垃圾數(shù)據(jù)也就越多。總有人得去梳理數(shù)據(jù)，轉(zhuǎn)譯數(shù)據(jù)，讓數(shù)據(jù)有意義，能使用。而且，基本的存儲問題也是存在的。是全部數(shù)據(jù)都存儲下來呢?還是定義某種價值分類方法，保留有價值數(shù)據(jù)，扔掉其他的?是集中存儲，還是分布式存儲?是放在自家內(nèi)部網(wǎng)絡(luò)上，還是置于云端?還有，到底該怎么管理這所有的數(shù)據(jù)：關(guān)系數(shù)據(jù)庫管理系統(tǒng)(RDBM)?分布式多用戶全文搜索引擎Elastic?分布式系統(tǒng)基礎(chǔ)架構(gòu)Hadoop?SIEM?

面對問題吧!安全就是個大數(shù)據(jù)應(yīng)用，是時候統(tǒng)合安全行業(yè)和網(wǎng)絡(luò)安全人士，考慮安全數(shù)據(jù)問題，想出共有的解決方案了。

此處有些建議可供參考：

1. 我們需要倍加重視數(shù)據(jù)規(guī)范

是的，我們有一些標(biāo)準(zhǔn)格式，出自MITRE這樣的組織，比如STIX、TAXII、CVE列表等等。但常見的抱怨是，這些標(biāo)準(zhǔn)都太復(fù)雜了，而且主要用于美國聯(lián)邦政府。我們需要創(chuàng)建簡單的標(biāo)準(zhǔn)數(shù)據(jù)封裝，可以用在幾乎全部安全數(shù)據(jù)上的那種。

舉個例子，不用舍近求遠，就看看Splunk吧。該公司建議采用通用信息模型(CIM)標(biāo)準(zhǔn)，來規(guī)范所有數(shù)據(jù)。這樣就可以更容易地檢索數(shù)據(jù)，將數(shù)據(jù)置于上下文中理解，并能關(guān)聯(lián)不同系統(tǒng)中的數(shù)據(jù)元素。作為一個行業(yè)，我們需要的，是全部安全數(shù)據(jù)都能遵從類似CIM的一個開箱即用的模型，讓每個人都可以更輕松地處理數(shù)據(jù)。

2. 所有安全數(shù)據(jù)都應(yīng)可通過標(biāo)準(zhǔn)API使用

除了通用格式，所有分析工具、SaaS產(chǎn)品，還有數(shù)據(jù)倉庫，都應(yīng)提供通過標(biāo)準(zhǔn)API導(dǎo)入/導(dǎo)出數(shù)據(jù)的功能。比如這樣一個用例：公司網(wǎng)絡(luò)中有SIEM和網(wǎng)絡(luò)分析工具，但外包了終端檢測與響應(yīng)(EDR)和威脅情報分析工作給SaaS提供商。當(dāng)公司安全運營中心(SOC)團隊檢測到安全事件，他們應(yīng)能通過想用的任意工具(或多個工具)，即時從所有源分析全部數(shù)據(jù)。

我們需要數(shù)據(jù)能通過標(biāo)準(zhǔn)API進行實時導(dǎo)入/導(dǎo)出，以便可以簡單有效地實時按需取用數(shù)據(jù)。

3. 企業(yè)需要分布式安全數(shù)據(jù)管理服務(wù)

今天的安全運營環(huán)境中，同樣的數(shù)據(jù)會在不同分析工具中收集處理多次。這樣非常浪費。為提升安全數(shù)據(jù)的效率和有效性，所有安全遙測都應(yīng)通過分布式數(shù)據(jù)管理服務(wù)加以收集、處理、規(guī)范化并提供使用。

應(yīng)澄清的一點是，數(shù)據(jù)并非就在分布式數(shù)據(jù)管理服務(wù)中加以分析。相反，數(shù)據(jù)應(yīng)通過標(biāo)準(zhǔn)接口，以通用格式呈現(xiàn)給所有類型的分析工具。此類安全數(shù)據(jù)管理服務(wù)，還應(yīng)負責(zé)基本的維護和安全操作。比如備份/恢復(fù)、歸檔、數(shù)據(jù)壓縮、加密等等。分布式安全數(shù)據(jù)管理服務(wù)可能會在內(nèi)部存儲一些數(shù)據(jù)，然后自動過期并歸檔其他數(shù)據(jù)到更便宜的存儲上(如磁帶、云等)。注意：分布式安全數(shù)據(jù)管理服務(wù)，是ESG的SOAPA多層架構(gòu)中的一層。

4. CISO必須擁抱人工智能和機器學(xué)習(xí)

鑒于安全數(shù)據(jù)規(guī)模的增長，知道數(shù)據(jù)的類型、位置、含義，清楚怎樣整合數(shù)據(jù)的人的數(shù)量，就顯得非常的小，且還在持續(xù)縮小中。幾乎可以斷定，我們實際上已經(jīng)跨越了人類可以有效處理這些數(shù)據(jù)的那條線。是時候讓機器來做那繁重的多層數(shù)據(jù)分析工作，為人類總結(jié)歸納數(shù)據(jù)，只把困難的決策工作留給人類就好。

好消息是，已經(jīng)有很多安全類AI創(chuàng)新，很多解決方案也走到了實用階段。壞消息是，市場上炒作太多，干貨太少。給CISO的建議是：貨物出門概不退換，買者自行小心，將大量資源投入研究、信息邀請書(RFI)/建議邀請書(RFP)和概念驗證項目中。

5. 盡量自動化，更多自動化

任何可被自動化的東西都應(yīng)該自動化，包括數(shù)據(jù)收集、數(shù)據(jù)規(guī)范化、數(shù)據(jù)分發(fā)、數(shù)據(jù)分析和自動化修復(fù)。人類應(yīng)降到安全數(shù)據(jù)周期的末端，專注困難的調(diào)查和決策。

面對現(xiàn)實，好心的安全團隊被如今龐大的數(shù)據(jù)量淹沒。他們奮不顧身，盡力而為，但現(xiàn)實結(jié)果卻冰冷殘酷：隨著安全數(shù)據(jù)規(guī)模上升，安全人員只能導(dǎo)出價值的增量部分。你甚至可以得出這樣的結(jié)論：更多安全數(shù)據(jù)需要的額外操作開銷，實際上會減少數(shù)據(jù)的價值——當(dāng)今很多企業(yè)的現(xiàn)狀。

要讓增加的數(shù)據(jù)更有用，我們需要讓它更易于消費、分析和操作化。而要達到這一點，安全行業(yè)和網(wǎng)絡(luò)安全從業(yè)者需要精誠合作，共同努力。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文