組織網(wǎng)絡每天可以從正?；顒?、聯(lián)網(wǎng)移動設備、傳感器和基于云的服務中生成數(shù)TB的數(shù)據(jù)。有來自多個來源的數(shù)千個數(shù)據(jù)元素，例如用戶活動的Web和系統(tǒng)日志、元數(shù)據(jù)、IP地址、路由器日志、第三方防病毒軟件，它們都在不斷發(fā)展和繁殖。當他們這樣做時，攻擊面就會擴大。因此，IT團隊面臨著對收集到的見解迅速采取行動以保護其網(wǎng)絡并最大限度地降低網(wǎng)絡攻擊風險的壓力。

問題在于，面對如此大量的數(shù)據(jù)，安全專業(yè)人員可能會不知所措，難以整理數(shù)據(jù)進行分析。然而，最常見的是，他們發(fā)現(xiàn)很難理解每個數(shù)據(jù)點的含義、其含義以及如何將警報轉化為行動。雖然監(jiān)控和收集日志以監(jiān)控網(wǎng)絡活動是一種很好的做法，但如果沒有人理解它們，這樣做真的有意義嗎?那么，數(shù)據(jù)如何幫助改進網(wǎng)絡安全策略呢?

保護網(wǎng)絡

今天，很少有網(wǎng)絡攻擊是在單個端點上進行的。幾乎所有人都必須穿越網(wǎng)絡，如果該網(wǎng)絡沒有得到適當?shù)谋Ｗo，黑客可以在離開之前進入并造成嚴重破壞。然而，無論他們是否設法操縱系統(tǒng)日志，裝備精良的分析師仍然能夠查看網(wǎng)絡數(shù)據(jù)并確定到底發(fā)生了什么。網(wǎng)絡是最重要證據(jù)的居所，也是通往公司心靈和大腦的最佳途徑。如果受到損害，它們可能會破壞運營，導致嚴重的財務影響和聲譽損失。因此，至關重要的是IT團隊了解健康的網(wǎng)絡是什么樣子，然后才能通過定期監(jiān)控和主動威脅搜尋來發(fā)現(xiàn)異常并縮小差距。轉向以數(shù)據(jù)為核心的更主動的網(wǎng)絡安全策略是保護企業(yè)免受不斷發(fā)展和日益復雜的網(wǎng)絡威脅的最佳實踐。

增強端點安全性

雖然大多數(shù)黑客以網(wǎng)絡本身為目標以獲取對組織資產(chǎn)的訪問權限，但有些黑客確實首先利用端點漏洞然后滲透網(wǎng)絡。家庭和商業(yè)設備都極易受到網(wǎng)絡犯罪的影響。從傳統(tǒng)惡意軟件到網(wǎng)絡釣魚攻擊，只需一個可疑鏈接即可傳播病毒并危害系統(tǒng)。隨著物聯(lián)網(wǎng)設備數(shù)量的不斷增加、BYOD趨勢的持續(xù)流行和工作模式的不斷變化，IT團隊需要深入了解每個端點，以保護其免受橫穿企業(yè)網(wǎng)絡的威脅。無論團隊決定采用不同的防病毒、URL過濾還是額外的應用程序控制，這些決定都必須基于證據(jù)來確保實施的安全實踐確實能夠最大限度地降低網(wǎng)絡攻擊的風險。

加快事件響應速度

由于大多數(shù)人現(xiàn)在都以他們生活的某些身份在網(wǎng)上進行操作，因此可以肯定會發(fā)生事件。當它們發(fā)生時，它們中的任何一個都不應被忽略。數(shù)據(jù)在這里很關鍵，因為除非他們有數(shù)據(jù)要分析，否則事件響應者無法開始調查。但是，即使他們有數(shù)據(jù)，如果他們無法理解，他們將如何處理?可悲的事實是：什么都沒有。隨著調查的延遲，公司正在向眾多危險敞開大門。如果有更多的時間，黑客可以破壞系統(tǒng)，竊取或破壞更敏感的數(shù)據(jù)，或者隱藏在網(wǎng)絡中。緩慢的響應也可能導致危險的大量積壓，尤其是當高優(yōu)先級和嚴重警報進入堆中時。因此，事件響應的速度對于保護組織數(shù)據(jù)免受入侵者的侵害至關重要。

有效的法醫(yī)調查

無論是在現(xiàn)實世界還是虛擬世界，調查犯罪現(xiàn)場都不是一件容易的事。然而，構建一個關于發(fā)生的事情和原因的完整故事是每個網(wǎng)絡安全戰(zhàn)略的一個非常重要的部分。通過過濾數(shù)千個數(shù)據(jù)日志并提取元數(shù)據(jù)，安全團隊需要收集盡可能多的網(wǎng)絡、端點和系統(tǒng)證據(jù)來結案。最好的網(wǎng)絡安全工具將有助于訪問精細的歷史數(shù)據(jù)并理解它來講述事件的故事，使用敘述來提高網(wǎng)絡安全性并防止未來發(fā)生違規(guī)行為。畢竟，每一次妥協(xié)和每一次數(shù)據(jù)泄露都是一次學習體驗，應該用來調整技術、工具和流程，以提高可見性、改進威脅追蹤并加快檢測速度。

理解噪音

安全團隊可以收到大量警報，告知他們潛在的威脅。其中一些確實是相關的，而另一些則是低優(yōu)先級的。團隊獲得的噪音越多，錯過重要事情的機會就越大。如果安全團隊沒有被來自多個安全系統(tǒng)指向嚴重問題的大量通知所淹沒，那么臭名昭著的Target數(shù)據(jù)泄露事件是可以避免的。在Target的案例中，速度因素是阻止違規(guī)行為的關鍵，或者至少是最小化其影響的關鍵，但團隊根本無法處理或分類警報。這個問題更為普遍，而且在大公司和小公司中仍然非常普遍。

然而，今天的安全工具不僅為IT部門提供了更好的警報準確性，還提供了數(shù)據(jù)上下文和額外的支持信息，以加快事件響應和進行更有效的調查。限制噪音水平并顯著提高噪音質量有助于更好、更快地做出決策。安全指標很復雜，因此IT團隊使用的工具應該提供一定程度的簡化。這樣一來，隨著數(shù)據(jù)變成易于理解、可操作的見解，對網(wǎng)絡安全戰(zhàn)略的信心就會增強。憑借信心、簡單性和更好的警報優(yōu)先級，網(wǎng)絡安全團隊可以將他們的方法從被動轉變?yōu)橹鲃?，永遠不會錯過潛伏的入侵者。配備正確的工具可以幫助團隊更好地理解安全數(shù)據(jù)，成功地防止違規(guī)行為并在未來幾年保護企業(yè)、員工和客戶。