安全數據：轉變思路才能真正解決問題

安全運營中最大的開銷，來自因沒收集整理日志數據而錯失的機會。為能更高效地運作，安全運營需收集更多數據以支持檢測和驗證，影響分析與響應。對安全運營中所用數據的審查顯示，不僅僅是安全日志，而是所有數據都對高效安全運營有用。

波耐蒙《2018數據泄露損失研究》表明，數據泄露事件的平均總損失范圍在220萬美元到690萬美元之間，數額依泄露的記錄數而定。而且，這僅僅是數據泄露的損失影響，而不是考慮到其他各種安全問題的總花費。

但高效安全運營能為中小企業節省數百萬美元是肯定的。 網絡安全領域，最聰明的人不會去做瑣碎的日志分析工作，有很多更有趣的項目等著他們臨幸。 既然人才如此緊缺，我們又怎么能正確地審核所有日志呢？答案從來只有一個：培訓更多的人才+減少日志數量。 但運營安全中存在一個最大的障礙：少并不是多，少就是真的少了。更少的數據意味著更窄的視野，也就意味著更少的警報，更少的驗證數據，只有更少的信息可以用于評估影響，也只有更少的數據可以用以響應。由此，安全事件被漏掉，而數據不足又必須檢測并響應時，就不得不耗費額外的資源從別的地方獲取數據，于是，遭遇安全事件的花費就開始增加了。

事件遺漏和響應數據不足所造成的額外開銷，遠比減少日志數據所省下來的那點兒人工費多得多。 眾所周知，數據就是金錢。Facebook的商業基礎就是建立在這個原則上的。日志數據不是垃圾，只要用得好，它們可以創造很大價值。 當今世界，每個人都被數據包圍，數據的作用遠超人們想象。看看各公司企業每天忙于收集數據，砸錢理解數據，我們就知道，業界終于開始意識到所有數據都是安全數據了。 過去，公司企業的IT部門，尤其是企業的安全供應商，都是挑選他們認為重要的數據來進行安全威脅管理。上世紀90年代和本世紀初見證了安全信息與事件管理(SIEM)工具的興起，這些工具被用于收集可導致基礎設施內出現漏洞的數據并提供對這些數據的訪問。然而，盡管完全轉變觀念尚需更多工作，我們如今對安全數據的理解已經與SIEM統治時期大不一樣了。在那個時期，真正龐大的數據日志還真不多見。不收集所有東西被認為是相當重要的一條原則，更別說分析了。 在那個時候，我們大多關注的是“阻止”條目。但隨著我們對安全數據的理解加深，“允許”明顯已經成為真正的問題。 取決于防火墻對UDP流量的處理方式，防火墻開啟完整日志時，日志數據主要由允許數據流構成——約85%。被阻擋的數據在安全人員看來是“完整的”，或者已經被解決了的事件。但之前的安全事件已經證明，成功的攻擊發生在經允許的數據流中，而不是被封擋了的事件里。公司企業已經開始意識到了這一點，安全數據定義的不斷闡明反映出了這種意識上的改變。 從員工訪問的數據到他們對該數據的訪問請求都可以被認為是安全數據，而這還僅僅只是個開始。移動數據、社交媒體數據、位置數據、地理信息數據等等都是安全數據，能深刻影響公司的安全運營甚至司法公正。 在人工揀選重要安全數據時期，所謂重要數據的范圍是狹窄而靜態的。如今，各種設備、家電和汽車都接入了網絡，以前的標準完全不適用于當前紛繁復雜的網絡。安全數據選取標準需要改變。各種應用和程序所產生的數據絕對應該歸到安全數據范疇。甚至智能冰箱、智能手機、網絡攝像頭等等設備想要與你共享的數據也都應該打上安全數據的標簽。 看看街上的攝像頭吧。每個在街上走動的人，兜里都揣著一個攝像頭。ATM、加油站、酒店大堂和快遞站都掛著攝像頭。無論這些攝像頭的目的是什么，它們都能提供視頻信息、GPS信息和電話呼叫元數據等可用來破案的司法證據。這些設備開始產生數據時，顯然是不會預知這些數據的最終用途的。 不過，這種認知上的轉變并不夠快。一篇接一篇的報道顯示，公司企業并不信任自己當前的安全解決方案。隨著網絡攻擊事件的上升，企業的花銷也在增加。為什么呢？因為過時的解決方案壓根兒存儲不了現代環境中一天的數據收集量，更別說一年的了。使用無法滿足今日巨大的可擴展性需求的解決方案，類似于得了不斷惡化的哮喘病，花再多錢跑再多趟醫院似乎都不會好。 商業在于效率。商場如戰場，品牌解決方案也保不了你一世長勝。高效收集并理解自身數據的公司不會犯太多錯，也不會花太多冤枉錢。 來源：安全牛