人与数据的结合

　　今天在2017年ISC中国互联网安全大会现场，偶遇一个在国企做CSO的老朋友，一起参观了各个安全企业的展台。

　　走到360展区，在产品的介绍屏幕之前浏览了一番之后，这位从业20多年、担任CSO若干年的资深人士在“数据驱动安全2.0的”展示屏之前停了下来，观看了展示屏的内容后，大家一起讨论了以下问题：

　　1. 单纯的防御策略已经无法应对日益复杂的安全局面，如何快速发现未知的入侵行为?

　　传统的安全检测手段是基于特征码技术或者黑白名单技术，在这个基础上，我们需要更多的手段进行威胁的发现：“异常行为”是我们常用的一个词语，这种行为往往是灰色的，很难精确匹配到一个具体的攻击或者威胁行为，这种行为的发现更多时候是通过数据分析的方法给管理员提供告警。例如：一台计算机，在一个不正常的时间访问了一台不应该由他访问的重要服务器，这种行为在“数据分析”的手段下就会暴露出来。

　　2. 非常同意数据分析发现异常的思路，发现异常之后，作为企业的安全团队，我们该怎么办?

　　发现之后，我们应该有三个动作：处置、分析溯源、总结报告。

　　处置：就是彻底检查异常的本机根源，尽快降低风险面;

　　分析溯源：需要本地的样本分析和云端数据相结合，彻底查清本次异常的根源;谁使用了这台机器?里面是否存在恶意代码?这台机器历史上有没有异常行为?这些异常行为、恶意代码背后有没有组织行为?损失发生了吗?

　　总结报告：在完成溯源分析的工作后，还要完成一个报告，在总结本次事件的基础上，提出整改建议，应对未来的未知风险。

　　而这些工作不可能仅仅依靠产品自动完成，这可能是周鸿祎在大会上提出，“万物皆变、人是安全的尺度”的原因吧。

　　在离开展台的时候，这位资深人士自己做个一个总结：基于海量数据的分析能力是提高安全运营能力的技术基础;一个优秀的安全运营团队是使用这些技术能力的必要条件;在自身缺乏足够的安全运营能力时，与业界优秀的安全运营与服务团队合作是一个可行的思路。