如今在信息量與應標記采取行動之間存在一個臨界點，尤其是在網絡安全方面。

[[325506]]

顯然，人們知道得越多，就越有見識。但是，在信息量和應該標記采取行動之間存在一個臨界點，尤其是在網絡安全方面。隨著企業變得更加數據驅動和自動化，IT系統已經變得越來越難以監控、管理和定義。日常用戶活動產生的“噪音”已達到震耳欲聾的程度。

大數據分析經常被認為是解決這一問題的靈丹妙藥——通過同樣全面的監控系統來應對巨大的挑戰。通過大數據解決方案，來自網絡每個角落的安全日志和事件都被輸入到一個中心平臺中。這通常會導致處理的事件數量驚人——每天多達40～50億個事件。

雖然這一級別的細節是全面的，但它并非沒有挑戰。數據越多，噪音就越大，誤報也越多。保持必要的活動日志的準確性、正確管理和存儲需要大量的活動部件和持續的維護—即使人們使用分析和機器學習來完成這項工作。這樣做所需的基礎設施成本很快就會超過您最初監控的網絡的價值。

精挑細選

即使從理論上講，分析和無監督的機器學習可以減輕負擔，但實際上，關于個人意圖的重要線索通常會被無監督的機器學習掩蓋和忽略。因此，令人感興趣的發現的收益仍然很低，分析了數十億個事件，并且準確警報的發送率不到百分之一。此外，如果增加管理底層技術的成本和復雜性以保持機器學習算法的正確運行以及以正確的方式準備數據，那么忽略意圖可能會成為一個重大問題。

數據背后的實際場景常常丟失。這可能是關于用戶、設備、網絡或位置的信息，但在為機器學習過程收集時，通常缺少或沒有鏈接此場景。它可以通過使用諸如記錄鏈接之類的工具部分解決，其中數據集中的單個記錄通過公共標識符進行匹配和組合。然而，重大的假陽性和陰性仍然存在。

另一個基本挑戰是原始材料的缺陷。這可能是由于錯誤配置的源日志、事件和遙測造成的。盡管可能有數以百萬計，甚至數十億計的詳細用戶活動的日志，但理解場景的鏈接常常是不存在的。

可以說，任何安全工具的價值在于它的收益。確定了多少真正的威脅并引起IT團隊注意?借助支持大數據的安全工具，典型的大型企業最多可以管理每10億條日志行5筆的收益。因此，在創造價值的同時，就基礎設施和數據中心管理而言，它付出了很高的代價。

這是網絡安全中一個持續不斷的主題。根據IDC公司的預測，2019年全球支出將達到1030億美元，但尚不清楚企業是否會感到更加安全。由于錯誤的原因使用錯誤的信息做出了太多的安全決策。隨著黑客越來越多地以員工為目標，企業需要考慮如何以不同方式保護自己。盡管有關網絡和用戶活動的數據可以提供有用的洞察力，但最終可操作的信息的產出至關重要。

移到邊緣

解決挑戰的一種方法是通過權力下放。使分析盡可能原子地接近需要處理的數據，這將有助于減輕不斷移動大型數據集的負擔。通過這樣做，IT團隊可以開始減少他們必須存儲的數據量，并特別針對安全性(通常是冗余的)確定優先級。隨著更多處理工作在邊緣進行，一旦由中央分析引擎進行了優化，新的分析方法和更新將能夠迅速推向并傳播到更廣泛的網絡中。

在動態的威脅環境中，需要一種動態、自動化的安全方法。通過以一種更分散的方式工作，而不是盡可能擴大網絡范圍，組織將能夠專注于阻止下一次攻擊，而不必為從上一次攻擊中恢復而苦惱。