截至2022年底，全球互聯(lián)網(wǎng)用戶數(shù)量已經(jīng)超過50億。在用戶數(shù)量快速增長(zhǎng)的同時(shí)，網(wǎng)絡(luò)中的設(shè)備和應(yīng)用也在持續(xù)不斷增加，這些都導(dǎo)致了網(wǎng)絡(luò)系統(tǒng)會(huì)產(chǎn)生更加龐大的數(shù)據(jù)。而當(dāng)企業(yè)正在產(chǎn)生的數(shù)據(jù)超出他們所能收集和分析的數(shù)據(jù)量時(shí)，企業(yè)就無法及時(shí)檢查這些數(shù)據(jù)中是否存在可能導(dǎo)致安全威脅的隱患和漏洞，并最終遭受巨大的財(cái)務(wù)和商譽(yù)損失。

為了在大數(shù)據(jù)時(shí)代更有效的開展大規(guī)模威脅檢測(cè)活動(dòng)，企業(yè)安全團(tuán)隊(duì)需要不斷改進(jìn)和完善現(xiàn)有的安全威脅檢測(cè)方法，確保威脅檢測(cè)工作的可擴(kuò)展性、靈活性和檢測(cè)效率。在此過程中，可能會(huì)面臨以下六個(gè)挑戰(zhàn)。

挑戰(zhàn)1：實(shí)現(xiàn)大規(guī)模的可見性監(jiān)控

全球各地的企業(yè)組織都在將業(yè)務(wù)系統(tǒng)向云計(jì)算轉(zhuǎn)移，安全運(yùn)營(yíng)團(tuán)隊(duì)需要能夠跟上這種發(fā)展的步伐。在此過程中，一些傳統(tǒng)的安全監(jiān)控設(shè)備（比如傳統(tǒng)SIEM系統(tǒng)等），可能會(huì)無法適應(yīng)云環(huán)境中的監(jiān)控要求，安全團(tuán)隊(duì)需要尋找新一代的安全監(jiān)控工具，不僅可以管理大批產(chǎn)生的數(shù)據(jù)，同時(shí)降低安全運(yùn)營(yíng)成本。

企業(yè)在擴(kuò)展安全可見性監(jiān)控的規(guī)模時(shí)，應(yīng)該首先認(rèn)清到他們?cè)诋?dāng)前威脅分析過程中的不足和成本。這樣在設(shè)計(jì)新一代威脅檢測(cè)系統(tǒng)時(shí)，重點(diǎn)關(guān)注那些薄弱的度量指標(biāo)，從而實(shí)現(xiàn)安全監(jiān)控能力的提升。

挑戰(zhàn)2：自動(dòng)化技術(shù)的應(yīng)用

通過自動(dòng)化手段可以讓安全團(tuán)隊(duì)將注意力集中在更繁重的任務(wù)上，如果方法得當(dāng)，還可以節(jié)省運(yùn)營(yíng)支出。這意味著花在低價(jià)值的簡(jiǎn)單手動(dòng)任務(wù)上的時(shí)間和資源會(huì)更少，為處理高價(jià)值的任務(wù)節(jié)約了時(shí)間。但是，企業(yè)在開始采用自動(dòng)化威脅檢測(cè)工具時(shí)，往往會(huì)面臨很多困惑，包括需要對(duì)什么工作進(jìn)行自動(dòng)化，以及如何評(píng)價(jià)自動(dòng)化的工作質(zhì)量等。

對(duì)于那些已經(jīng)習(xí)慣了全手動(dòng)化工作的安全團(tuán)隊(duì)來說，沒必要一下子全部實(shí)現(xiàn)自動(dòng)化模式的升級(jí)。依賴現(xiàn)有的內(nèi)部資源常常可以更快地踏上自動(dòng)化之路。當(dāng)安全分析師逐步了解如何利用自動(dòng)化工具開展日常工作時(shí)，不僅會(huì)看到減少手動(dòng)工作的好處，還會(huì)進(jìn)一步發(fā)現(xiàn)自動(dòng)化能力后續(xù)完善的需求。

挑戰(zhàn)3：安全警報(bào)泛濫

隨著數(shù)字化應(yīng)用的不斷深入和各種安全工具的不斷應(yīng)用，企業(yè)安全運(yùn)營(yíng)團(tuán)隊(duì)面對(duì)的安全威脅告警注定會(huì)不斷增加，其增速通常會(huì)超過團(tuán)隊(duì)自身能力的成長(zhǎng)。雖說通過自動(dòng)化手段可以簡(jiǎn)化警報(bào)、縮短跟進(jìn)處理時(shí)間，但任何CISO都不希望看到其團(tuán)隊(duì)將時(shí)間浪費(fèi)在類似密碼誤輸入引起的登錄失敗上。因此，企業(yè)需要思考如何有效關(guān)聯(lián)和分析大規(guī)模的安全事件數(shù)據(jù)，消除誤報(bào)信息，發(fā)現(xiàn)真正的威脅活動(dòng)。目前，市場(chǎng)上大多數(shù)的安全檢測(cè)工具還難以將各種看似獨(dú)立的事件關(guān)聯(lián)起來綜合分析。CISO需要在預(yù)算有限的情況下動(dòng)用一切資源，確保在重大危害發(fā)生前洞悉企業(yè)整體的安全威脅狀況。

挑戰(zhàn)4：數(shù)據(jù)過載

由于數(shù)據(jù)量的不斷增加，企業(yè)安全團(tuán)隊(duì)如今面臨數(shù)據(jù)過載的挑戰(zhàn)，而且這種情況會(huì)越來越嚴(yán)重。為了有效處理龐大的數(shù)據(jù)，企業(yè)要注意應(yīng)該重點(diǎn)收集那些高價(jià)值、高質(zhì)量的數(shù)據(jù)，并確保這些數(shù)據(jù)在檢測(cè)和響應(yīng)管道中被充分使用。如果數(shù)據(jù)質(zhì)量不好，或者沒有實(shí)際用途，就可以先不采集，這助于節(jié)省資金和處理周期。

挑戰(zhàn)5：掌握軟件編程技術(shù)

檢測(cè)即代碼對(duì)現(xiàn)代安全團(tuán)隊(duì)的高效工作有很多好處。如果能夠根據(jù)自己的要求編寫檢測(cè)與警報(bào)代碼，安全團(tuán)隊(duì)就可以實(shí)現(xiàn)更高的穩(wěn)定性、預(yù)測(cè)性和擴(kuò)展性。但這需要威脅檢測(cè)分析師投入時(shí)間和精力來學(xué)習(xí)至少一門編程語言。

事實(shí)上，掌握像Python之類的編程語言比想象中的容易得多，這對(duì)安全團(tuán)隊(duì)來說是一項(xiàng)意義重大的技能。不斷實(shí)踐是學(xué)習(xí)編程技能的最好方法。在實(shí)際工作中，威脅檢測(cè)分析師可以從基于實(shí)際案例的簡(jiǎn)單編程工作入手，查閱編程教學(xué)網(wǎng)站或其他實(shí)用的資源，了解如何編寫切實(shí)可行的程序。

挑戰(zhàn)6：安全運(yùn)營(yíng)團(tuán)隊(duì)能力不足

如今，企業(yè)很難招聘到在網(wǎng)絡(luò)安全威脅檢測(cè)方面受過良好培訓(xùn)、經(jīng)驗(yàn)豐富的從業(yè)人員，因此被迫雇傭更多缺乏從業(yè)經(jīng)驗(yàn)的分析師。這些分析師需要較長(zhǎng)時(shí)間的業(yè)務(wù)培訓(xùn)和經(jīng)驗(yàn)積累，才能勝任崗位。因此，有條件的企業(yè)應(yīng)該積極部署應(yīng)用新一代TDIR（威脅檢測(cè)調(diào)查與響應(yīng)）平臺(tái)，在提供自動(dòng)化能力同時(shí)，還可以提供更完善的上下文信息，彌補(bǔ)安全分析師經(jīng)驗(yàn)上的不足。

企業(yè)不僅需要新的工具來洞見威脅，還應(yīng)該奉行持續(xù)創(chuàng)新和優(yōu)化發(fā)展的工作心態(tài)。如果安全團(tuán)隊(duì)擁有合適的工具和方法流程支持，并保持積極主動(dòng)的威脅檢測(cè)狀態(tài)，就能夠不斷提升自身的威脅檢測(cè)能力和防護(hù)效果。