如今,信息量与应标记为采取行动的内容之间存在一个转折点,尤其是在网络安全方面。显然,知道的人越多,他们的信息就越多。然而,信息量与何时应标记为采取行动之间存在一个转折点,尤其是在网络安全方面。随着企业变得更加数据驱动和自动化,IT系统变得越来越难以监控、管理和定义。日常用户活动产生的“噪音”已经达到震耳欲聋的程度。大数据分析通常被认为是解决这个问题的灵丹妙药——用同样全面的监控系统来应对巨大的挑战。借助大数据解决方案,来自网络各个角落的安全日志和事件都被输入到一个中央平台。这通常会导致处理的事件数量惊人——每天多达4-50亿个事件。虽然这种详细程度是全面的,但它并非没有挑战。更多的数据意味着更多的噪音和更多的误报。保持必要的活动日志准确、妥善管理和存储需要大量移动部件和持续维护——即使人们使用分析和机器学习来完成这项工作。这样做所需的基础设施成本可能会很快超过您最初监控的网络的价值。挑选和选择尽管分析和无监督机器学习在理论上可以减轻负担,但在实践中,关于个人意图的重要线索往往被无监督机器学习掩盖和忽略。因此,有趣发现的产出仍然很低,分析了数十亿个事件,发送的准确警报不到百分之一。此外,如果忽略意图会增加管理底层技术以保持机器学习算法正确运行和数据以正确方式准备的成本和复杂性,那么它可能会成为一个重大问题。数据背后的实际上下文经常丢失。这可能是有关用户、设备、网络或位置的信息,但在为机器学习过程收集时,此上下文通常会丢失或未链接。它可以通过使用记录链接等工具来部分解决,其中数据集中的各个记录通过公共标识符进行匹配和组合。但是,仍然存在明显的误报和漏报。另一个根本挑战是原始材料的不完美。这可能是由于配置错误的源日志、事件和遥测造成的。虽然可能有数百万(如果不是数十亿)详细用户活动日志,但通常不存在了解上下文的链接。可以说,任何安全工具的价值都在于它的好处。有多少真正的威胁被识别并提请IT团队注意?借助支持大数据的安全工具,典型的大型企业可以管理高达每10亿条日志行5条的收益。因此,在创造价值的同时,它在基础设施和数据中心管理方面付出了高昂的代价。这是网络安全领域的一个持续主题。据IDC称,2019年全球支出将达到1030亿美元,但尚不清楚企业是否会感到更加安全。太多的安全决策是出于错误的原因使用错误的信息做出的。随着黑客越来越多地以员工为目标,企业需要考虑如何以不同方式保护自己。虽然有关网络和用户活动的数据可以提供有用的见解,但最终生成可操作的信息至关重要。转移到边缘以解决挑战的一种方法是通过权力下放。使分析尽可能接近需要处理的数据将有助于减轻不断移动大型数据集的负担。通过这样做,IT团队可以开始减少他们必须存储的数据量,并特别优先考虑安全性(通常是冗余的)。随着越来越多的处理在边缘完成,一旦中央分析引擎优化,新的分析和更新将能够在更广泛的网络中快速推送和传播。在动态威胁环境中,需要动态、自动化的安全方法。通过以更分布式的方式工作而不是尽可能地分散网络,组织将能够专注于阻止下一次攻击,而不是努力从上一次攻击中恢复。
