查看日志文件尋找安全事件蹤跡的日子一去不復(fù)返了。別會(huì)錯(cuò)意，這不是說(shuō)日志文件不重要了。日志文件依然十分有用，是證實(shí)安全事件及其原因的關(guān)鍵，也是取證和緩解工作流的必備要素。但身處每時(shí)每刻都有大量數(shù)據(jù)生成的時(shí)代，手動(dòng)篩查大量日志來(lái)發(fā)現(xiàn)問(wèn)題太過(guò)浪費(fèi)時(shí)間。而且，交付現(xiàn)代服務(wù)所需數(shù)字供應(yīng)鏈的復(fù)雜互聯(lián)性和不透明性，又進(jìn)一步加劇了這個(gè)問(wèn)題。

[[423769]]

對(duì)大多數(shù)人而言，被高中和大學(xué)數(shù)學(xué)課程(比如微積分)凌虐的時(shí)候難免發(fā)出疑問(wèn)：“現(xiàn)實(shí)生活中我啥時(shí)候才會(huì)用上這玩意兒啊?”但對(duì)于踏入信息安全世界的人而言，這個(gè)問(wèn)題的答案就是“現(xiàn)在”。

從現(xiàn)在開(kāi)始，各行各業(yè)都應(yīng)該從金融服務(wù)業(yè)借鑒數(shù)學(xué)和數(shù)據(jù)科學(xué)知識(shí)來(lái)評(píng)估數(shù)據(jù)泄露的概率了。尤其是，安全團(tuán)隊(duì)可以利用時(shí)間序列數(shù)據(jù)構(gòu)建描述用戶行為的數(shù)學(xué)模型，然后查找異常并確定出問(wèn)題的概率。

想要改善事件檢測(cè)，企業(yè)可以運(yùn)用以下數(shù)學(xué)與數(shù)據(jù)科學(xué)的要素和基本概念：

導(dǎo)數(shù)

“導(dǎo)數(shù)”這個(gè)詞聽(tīng)起來(lái)很炫，但其實(shí)指的是相對(duì)于時(shí)間的變化率。在安全檢測(cè)方面，單位時(shí)間(每小時(shí)、每天等)內(nèi)身份驗(yàn)證失敗次數(shù)的突然增加，就是一個(gè)值得關(guān)注的導(dǎo)數(shù)。例如，如果身份驗(yàn)證失敗次數(shù)從每天5到10次猛增到每天100次以上，那就說(shuō)明有人在嘗試入侵(最好情況)或者已經(jīng)入侵成功了(最壞情況)。這種時(shí)候，你應(yīng)該觀察的是函數(shù)的導(dǎo)數(shù)，而不是數(shù)量。

數(shù)學(xué)模型

安全領(lǐng)域另一個(gè)有用概念是建立資產(chǎn)行為的數(shù)學(xué)模型。例如，將軟件即服務(wù)產(chǎn)品或平臺(tái)當(dāng)作一項(xiàng)資產(chǎn)。我們?cè)趺创_定出基線標(biāo)準(zhǔn)供后續(xù)識(shí)別異常使用呢?如果將GitHub用作代碼存儲(chǔ)庫(kù)，則可以通過(guò)觀察一些關(guān)鍵操作指標(biāo)隨時(shí)間變化的情況來(lái)建模GitHub，例如“克隆”、“合并”、“刪除”、“添加用戶”和“生成訪問(wèn)令牌”等。

基數(shù)

這些例子還包括基數(shù)的概念——集合中的元素個(gè)數(shù)?？赡苁莵?lái)自已知設(shè)備的登錄，我們?cè)谄渲袑ふ姨囟P(guān)鍵操作的數(shù)量變化，表示潛在入侵指標(biāo)。但要導(dǎo)出這一信息，我們首先得“學(xué)習(xí)”。舉個(gè)最基本的例子，假設(shè)CEO每天用來(lái)登錄的設(shè)備有三臺(tái)，手機(jī)、平板電腦和筆記本電腦。如果這一數(shù)量增加到四或五臺(tái)，那就可能是CEO開(kāi)始用新設(shè)備工作了(有待證實(shí))。但如果這一數(shù)量突然大幅增加，遭遇入侵的概率就很高了。

很多企業(yè)和安全團(tuán)隊(duì)都在按老方法做事件檢測(cè)，大范圍收集日志并搜索模式或正則表達(dá)式，但這明顯并不足以應(yīng)對(duì)當(dāng)前的威脅態(tài)勢(shì)。當(dāng)然，日志仍然是數(shù)字取證不可或缺的一環(huán)。但若要限制暴露窗口和縮短檢測(cè)時(shí)間，好加快啟動(dòng)修復(fù)活動(dòng)，就得結(jié)合時(shí)序數(shù)據(jù)與數(shù)學(xué)和數(shù)據(jù)科學(xué)原則，這一點(diǎn)尤為重要。