在网络安全领域,事件和安全管理(SIEM)软件以及安全软件被用来告知安全团队哪里出了问题以及何时发生的。在大多数情况下,安全团队可以利用大量的数据精确地指出安全协议在哪里失效,以及如何修复。然而,问题在于,这些信息往往来得太晚。许多安全团队没有意识到,虽然事后的安全分析很有用,但大多数企业也有大量的数据可以用来预测攻击发生之前的情况。
商业智能(BI):定义“正常”
许多企业转向像SAS、Python和R这样的分析软件,以获得对其当前运营状态的可操作洞察,并更好地将活动与战略优先事项对齐。从更好地了解客户和销售渠道合作伙伴,到赋予员工做出更好的、数据驱动的决策,这些决策提高了整体的底线,商业分析工具的价值不言而喻。
然而,BI软件在安全领域却严重被低估。一些专家将许多企业当前的安全状态比作政府的战略室:安全团队过于专注于了解敌人、观察他们的行动,并试图预测接下来会发生什么,以至于他们失去了对自己边界内发生的事情的视角。他们没有专注于通过识别异常情况来从内部加强防御,而是忙于领先外部攻击者一步。
这通常是因为安全团队并不总是完全了解在商业意义上什么构成了“正常”。因为大多数被安全团队分析的数据都是可以理解的,只关注安全,它只看到了整个画面的一小部分。他们可能能够识别出已知攻击者的攻击或特定恶意软件的特征,但当发生不符合预定义的“风险”的事件时,他们措手不及。
然而,通过查看更广泛的数据集,包括网站流量、电子邮件流量、客户购买模式等因素,可以建立一个正常运营的基线,并在异常情况发生之前识别它们。正常运营为企业创造了一个独特的指纹,在某种意义上——当这个指纹发生变化时,就需要进行调查。
连接安全和商业分析
商业智能分析和安全分析,甚至整个安全领域,一直保持独立实体的一个原因是,这些流程和工具往往是分开的,没有一组对另一组有完整的了解。将这些不同的功能结合起来往往是许多组织面临的一个主要障碍。然而,如果安全团队能够与商业智能团队联系,不仅能够创建一个可以在整个组织中产生积极涟漪的组织桥梁,而且BI团队可以提供对安全团队来说可能是陌生的数据分析洞察。
同样的原因,接受网络安全培训的团队可以提供对其他组织来说可能不明显的洞察和指导。通过向BI团队展示如何从安全角度解释数据,安全分析师可以帮助业务分析师更好地保护数据,并识别需要进一步调查的指纹变化。
将BI和安全分析结合起来,并不要求部署更多的工具。这两个功能很可能已经拥有一系列工具,从防火墙和威胁保护系统到数据收集和分析程序。将这些功能结合起来,就是更好地利用这些工具,并利用它们的力量,以便做出更好的业务决策并保护收集到的数据和关键业务功能。