截至2022年底，全球互聯(lián)網(wǎng)用戶數(shù)量已經(jīng)超過50億。在用戶數(shù)量快速增長的同時，網(wǎng)絡(luò)中的設(shè)備和應(yīng)用也在持續(xù)不斷增加，這些都導(dǎo)致了網(wǎng)絡(luò)系統(tǒng)會產(chǎn)生更加龐大的數(shù)據(jù)。而當企業(yè)正在產(chǎn)生的數(shù)據(jù)超出他們所能收集和分析的數(shù)據(jù)量時，企業(yè)就無法及時檢查這些數(shù)據(jù)中是否存在可能導(dǎo)致安全威脅的隱患和漏洞，并最終遭受巨大的財務(wù)和商譽損失。

為了在大數(shù)據(jù)時代更有效的開展大規(guī)模威脅檢測活動，企業(yè)安全團隊需要不斷改進和完善現(xiàn)有的安全威脅檢測方法，確保威脅檢測工作的可擴展性、靈活性和檢測效率。在此過程中，可能會面臨以下六個挑戰(zhàn)。

挑戰(zhàn)1：實現(xiàn)大規(guī)模的可見性監(jiān)控

全球各地的企業(yè)組織都在將業(yè)務(wù)系統(tǒng)向云計算轉(zhuǎn)移，安全運營團隊需要能夠跟上這種發(fā)展的步伐。在此過程中，一些傳統(tǒng)的安全監(jiān)控設(shè)備（比如傳統(tǒng)SIEM系統(tǒng)等），可能會無法適應(yīng)云環(huán)境中的監(jiān)控要求，安全團隊需要尋找新一代的安全監(jiān)控工具，不僅可以管理大批產(chǎn)生的數(shù)據(jù)，同時降低安全運營成本。

企業(yè)在擴展安全可見性監(jiān)控的規(guī)模時，應(yīng)該首先認清到他們在當前威脅分析過程中的不足和成本。這樣在設(shè)計新一代威脅檢測系統(tǒng)時，重點關(guān)注那些薄弱的度量指標，從而實現(xiàn)安全監(jiān)控能力的提升。

挑戰(zhàn)2：自動化技術(shù)的應(yīng)用

通過自動化手段可以讓安全團隊將注意力集中在更繁重的任務(wù)上，如果方法得當，還可以節(jié)省運營支出。這意味著花在低價值的簡單手動任務(wù)上的時間和資源會更少，為處理高價值的任務(wù)節(jié)約了時間。但是，企業(yè)在開始采用自動化威脅檢測工具時，往往會面臨很多困惑，包括需要對什么工作進行自動化，以及如何評價自動化的工作質(zhì)量等。

對于那些已經(jīng)習慣了全手動化工作的安全團隊來說，沒必要一下子全部實現(xiàn)自動化模式的升級。依賴現(xiàn)有的內(nèi)部資源常?？梢愿斓靥ど献詣踊贰．敯踩治鰩熤鸩搅私馊绾卫米詣踊ぞ唛_展日常工作時，不僅會看到減少手動工作的好處，還會進一步發(fā)現(xiàn)自動化能力后續(xù)完善的需求。

挑戰(zhàn)3：安全警報泛濫

隨著數(shù)字化應(yīng)用的不斷深入和各種安全工具的不斷應(yīng)用，企業(yè)安全運營團隊面對的安全威脅告警注定會不斷增加，其增速通常會超過團隊自身能力的成長。雖說通過自動化手段可以簡化警報、縮短跟進處理時間，但任何CISO都不希望看到其團隊將時間浪費在類似密碼誤輸入引起的登錄失敗上。因此，企業(yè)需要思考如何有效關(guān)聯(lián)和分析大規(guī)模的安全事件數(shù)據(jù)，消除誤報信息，發(fā)現(xiàn)真正的威脅活動。目前，市場上大多數(shù)的安全檢測工具還難以將各種看似獨立的事件關(guān)聯(lián)起來綜合分析。CISO需要在預(yù)算有限的情況下動用一切資源，確保在重大危害發(fā)生前洞悉企業(yè)整體的安全威脅狀況。

挑戰(zhàn)4：數(shù)據(jù)過載

由于數(shù)據(jù)量的不斷增加，企業(yè)安全團隊如今面臨數(shù)據(jù)過載的挑戰(zhàn)，而且這種情況會越來越嚴重。為了有效處理龐大的數(shù)據(jù)，企業(yè)要注意應(yīng)該重點收集那些高價值、高質(zhì)量的數(shù)據(jù)，并確保這些數(shù)據(jù)在檢測和響應(yīng)管道中被充分使用。如果數(shù)據(jù)質(zhì)量不好，或者沒有實際用途，就可以先不采集，這助于節(jié)省資金和處理周期。

挑戰(zhàn)5：掌握軟件編程技術(shù)

檢測即代碼對現(xiàn)代安全團隊的高效工作有很多好處。如果能夠根據(jù)自己的要求編寫檢測與警報代碼，安全團隊就可以實現(xiàn)更高的穩(wěn)定性、預(yù)測性和擴展性。但這需要威脅檢測分析師投入時間和精力來學習至少一門編程語言。

事實上，掌握像Python之類的編程語言比想象中的容易得多，這對安全團隊來說是一項意義重大的技能。不斷實踐是學習編程技能的最好方法。在實際工作中，威脅檢測分析師可以從基于實際案例的簡單編程工作入手，查閱編程教學網(wǎng)站或其他實用的資源，了解如何編寫切實可行的程序。

挑戰(zhàn)6：安全運營團隊能力不足

如今，企業(yè)很難招聘到在網(wǎng)絡(luò)安全威脅檢測方面受過良好培訓、經(jīng)驗豐富的從業(yè)人員，因此被迫雇傭更多缺乏從業(yè)經(jīng)驗的分析師。這些分析師需要較長時間的業(yè)務(wù)培訓和經(jīng)驗積累，才能勝任崗位。因此，有條件的企業(yè)應(yīng)該積極部署應(yīng)用新一代TDIR（威脅檢測調(diào)查與響應(yīng)）平臺，在提供自動化能力同時，還可以提供更完善的上下文信息，彌補安全分析師經(jīng)驗上的不足。

企業(yè)不僅需要新的工具來洞見威脅，還應(yīng)該奉行持續(xù)創(chuàng)新和優(yōu)化發(fā)展的工作心態(tài)。如果安全團隊擁有合適的工具和方法流程支持，并保持積極主動的威脅檢測狀態(tài)，就能夠不斷提升自身的威脅檢測能力和防護效果。