在AI技術快速發展的智能化時代，數據驅動已然成為網絡安全技術創新至關重要的 “武器”，特別是對于網絡安全運營團隊而言，AI模式下的體系化風險分析能夠為降低企業網絡風險提供可行的建議，但這一切的前提是擁有強大的數據基礎。然而，在現代企業環境中，如何有效地整合并科學利用海量的網絡安全數據一直都是困難重重：數據孤島大量存在，多源數據長期無法整合，成為長期制約企業網絡安全能力提升的“頭號難題”。 

當前，安全運營團隊致力于為大模型分析引擎提供更多有用的數據，這些引擎有望提供威脅情報并實現更明智的運營決策。然而，不斷增長的網絡安全數據規模使得分析師很難使用傳統數據平臺來找到正確的數據、對其進行轉換并以有用的形式進行歸檔。在此背景下，一種創新的數據編織（Data Fabric）架構理念或許成為能夠有效破解這一難題的關鍵所在。 

什么是數據編織？

研究機構Gartner在2024年數據分析與人工智能技術成熟度曲線（中國版）報告中指出，曾經風光無限的“數據中臺”已經正式落入泡沫破裂低谷期，因為從技術視角分析，數據中臺代表了物理式集中的數據管理架構，側重于物理化的統一歸集和數據搬運，而隨著當前數據規模指數級增長，其已難以應對“跨源異構”數據的整合，并且投資巨大，回報周期長。

從實際應用角度出發，對于正實施數字化轉型戰略的大型企業，或者想要更快、成本更低落地數字應用的中小型初創企業來說，一種更靈活、更敏捷，也更低成本的數據編織（Data Fabric）技術架構開始受到廣泛關注。而在網絡安全領域，數據編織技術也有望成為企業組織新一代網絡安全能力構建的基石。 

Gartner 分析師表示，傳統數據連接架構是“人找數據” 模式，存在諸多弊端。用戶需耗費大量時間精力，在多個分散的數據源中搜尋所需數據，不僅效率低下，還增加了數據泄露與誤操作的風險。而數據編織技術則是以 “數據找人” 為設計核心，借助智能算法與動態分析技術，在恰當的時間節點，將適配的數據主動推送至需求方，從而顯著提升數據流轉效率，同時降低人為因素導致的數據安全隱患。 

數據編織（Data Fabric）并不是一個具體的產品，而是一種極具前瞻性的大數據管理架構理念。它旨在打破數據孤島壁壘，整合多源業務信息，具備高度的靈活性與彈性擴展能力，支持用戶在任何時間、地點，通過任意終端安全訪問所需數據。在實際應用中，數據編織技術需要深度融合AI、機器學習與數據科學技術，倡導通過智能化手段實現海量數據的動態整合與訪問，精準挖掘數據間潛藏的業務關聯。在這種創新的管理體系中，數據不再因物理分散而難以監管，而是通過統一邏輯視圖實現集中管控。

與傳統的中臺式管理模式相比，數據編織架構為企業數據體系建設和數據管理架構提供了一種全新的思路，其關鍵技術突破是通過數據虛擬化技術，創建邏輯數據層，在單點邏輯集成了分散在不同系統中的數據，為數據消費者提供一個統一的、抽象的、封裝的邏輯數據視圖，無需物理搬運數據即可實現數據的統一訪問與管理。用戶通過這個邏輯視圖，可以查詢和操作存儲在異構數據源中的數據，把多個異構數據源當成一個同構數據源使用，無需關心數據的位置、類型和格式，最終實現類似數據中臺的統一集中化的數據訪問和管理。 

重塑網絡安全數據利用模式

具體到網絡安全防護領域，數據編織技術有望成為企業在進行網絡威脅和暴露面風險管理流程中，負責數據攝取、存儲、分析利用和規范化管理的基礎性組件。從架構角度來看，它致力于統一各類安全數據，提升整體安全能力，就如同人體的中樞神經系統對于整個身體的作用一樣，在網絡安全技術生態系統中占據核心地位。 

通過數據編織技術，安全運營團隊能夠對所有相關的安全數據進行統一分析利用，這些數據還會結合基礎設施狀態和威脅情報得到豐富和增強。與傳統的數據湖或數據倉庫不同，網絡安全數據編織能夠提供將多個數據片段相互連接，形成具有高度價值的上下文情境視圖，對于特定的攻擊事件場景分析具有重要意義。在這個過程中，“數據 + 數據 = 情境”，而情境能夠幫助安全團隊做出更準確的處置決策。 

以某大型金融企業為例，其網絡安全團隊整合所有安全運營數據的過程中，需要對接防火墻、入侵檢測系統、漏洞掃描工具等近百種不同的安全設備和軟件。每個設備和軟件都有各自的數據格式和接口規范，團隊為了實現數據的收集，投入了大量人力定制化開發接口，但仍時常面臨因 API 變更導致的數據收集中斷問題。這不僅影響了數據的及時性，還使得安全分析工作無法正常開展，增加了企業面臨的網絡風險。 

而在數據編織模式下，其所有安全運營數據的攝取將由自主且由人工智能驅動的代理來完成。這些代理就像是智能 “偵察兵”，其主要任務是檢測新的系統和基礎設施。它們可以主動發現數字生態系統中的所有相關數據源，包括以前未知的資產。它們還能夠理解數據語義，適應不斷演變或變化的 API，并動態建立和學習新的連接，從而顯著降低維護成本和運營總開銷。 

此外，網絡安全數據編織的分析引擎將是負責對攝取的數據進行分析和豐富化處理的中央計算系統，其最終目的是創建對網絡安全上下文情境的全面感知。這一引擎模擬人工手動從多個工具中整合不同數據集，并深入理解數字生態系統中實際發生情況的過程，幫助安全團隊及時發現安全威脅并采取措施進行防范，避免了可能造成的重大損失。 

雖然目前網絡安全數據編織尚未完全成熟，但了解這一發展方向，有助于企業組織當下更好地探索利用這一創新技術。基于AI代理的智能化數據攝取機制最終將提高安全運營團隊的工作效率，確保為網絡安全決策提供支持的可見性和遙測數據的實時性、準確性。 

應用價值分析

現代企業的數字化基礎設施呈現出分散化和短暫性的特點，在現有的數據孤島林立和多安全工具并行的安全防護模式下，企業想要在與攻擊者的對抗中占據主動地位變得越來越困難。而網絡安全數據編織技術的應用，有望為企業帶來以下改變和優勢：

1.提升體系化安全運營的協同效率

如今，企業中存在著大量不同的網絡安全技術，每種技術都擁有獨特的數據集合。將這些與網絡安全相關的數據統一到一個數據結構中，能夠打破團隊之間的數據壁壘，營造數據共享的環境，從而提升整個安全計劃的執行能力。 

在某跨國制造企業中，不同地區的分支機構使用了多種不同的網絡安全解決方案，包括來自不同供應商的防火墻、入侵檢測系統和端點防護軟件，這些系統產生的數據也相互獨立。引入網絡安全數據編織架構后，所有安全相關數據被集中整合，不同團隊可以實時共享數據。例如，開發團隊在進行新應用程序部署時，可以參考安全團隊提供的威脅情報數據，提前進行安全加固；安全團隊則可以根據運維團隊提供的基礎設施變更信息，及時調整安全策略。通過這種方式，企業內部的協同效率將會大幅提升。

2.加速事件響應進程，增強威脅狩獵能力

網絡安全事件響應需要獲取大量數據，以便對安全事件進行情境化分析，并推斷出可能給企業帶來風險的活動。大多數孤立的活動本身可能并不代表正在發生的安全事件或威脅，但將一系列行動或事件綜合分析，往往能揭示重要的上下文情境。采用網絡安全數據編織架構，能夠顯著提升威脅狩獵和事件響應的效率。 

例如，在一次針對某電商企業的大規模 DDoS 攻擊中，傳統的安全防護系統僅能檢測到大量異常流量，但無法快速判斷攻擊的來源和意圖。由于數據分散在不同的設備和系統中，安全團隊在進行調查時，需要逐個查看防火墻日志、流量監測數據和服務器日志等，耗費了大量時間。而通過數據編織，安全運營平臺能夠實時收集和整合各類數據，通過分析流量模式、源 IP 地址、請求內容等多維度信息，迅速識別出攻擊的發起者和攻擊手段。安全團隊根據這些信息，及時采取了針對性的防御措施，成功抵御了攻擊，將業務中斷時間從原來的數小時縮短至幾分鐘，有效減少了經濟損失。 

另外，威脅狩獵是一種主動尋找潛在安全威脅的過程，需要對大量的安全數據進行深入分析。在傳統模式下，安全團隊往往依靠經驗和手動查詢來進行威脅狩獵，效率低下且容易遺漏重要線索。網絡安全數據編織能夠提供統一的數據分析平臺，結合人工智能算法和威脅情報，自動發現潛在的威脅跡象。例如，通過對用戶行為數據的分析，發現某個用戶賬號在非工作時間頻繁訪問敏感文件，且訪問模式與正常行為存在顯著差異，從而提升狩獵效率。

3.轉變風險應對策略，實現主動防御

傳統的網絡風險應對過程，通常是基于優先級策略來發現和緩解暴露和漏洞。然而，在缺乏緩解因素、基礎設施知識和實時威脅數據等上下文情境的情況下，對特定風險的優先級評估可能不夠準確，使得風險應對成為被動反應。而引入網絡安全數據編織技術后，通過實時分析威脅和資產數據，并與已知威脅和行動進行對比，能夠將風險降低轉變為主動且預防性的過程。 

以某能源企業為例，在未引入網絡安全數據結構編織之前，其風險評估主要依賴于定期的漏洞掃描報告。由于掃描周期較長，且無法實時獲取威脅情報，導致在發現漏洞后，往往需要一段時間才能確定其風險等級并采取相應的措施。在這期間，企業可能已經面臨著潛在的安全威脅。而在引入網絡安全數據編織后，系統實時收集資產信息、漏洞數據和威脅情報，通過分析這些數據之間的關聯關系，能夠動態評估風險等級。同時，通過對歷史數據的分析，系統還能夠預測潛在的風險，提前為安全團隊提供預警，實現從被動防御到主動防御的轉變。

應用的挑戰與建議

應用挑戰

實施網絡安全數據編織有望給組織的新一代安全能力建設帶來大量戰術和戰略層面收益，但也存在著數據隱私和保護方面的擔憂，主要包括：

1.明確數據的所有權

數據編織技術使用人工智能對各類數據進行分類，并可以使用預測分析中的信息來生成數據目錄和知識圖。其中需要超出傳統安全數據的范疇，獲取有關業務部門及其員工行為的數據信息。在當前的信息隱私保護框架內，需要明確誰擁有這些信息或有權使用這些信息。

2.對數據訪問的管控

數據編織通常集成來自人類和人工智能識別源的數據，這些源可以是數據庫、數據湖、數據倉庫、數據流和許多其他形式。從各種來源收集的數據和元數據被集成到數據編織架構中。數據編織的數據和流程由一組共享規則自動編排，因此，提前對信息進行分類并設置共享信息的業務規則至關重要。

3.安全地使用數據

數據編織嚴重依賴人工智能。人工智能生成模型的可解釋性和使用讓人對黑匣子內發生的事情產生疑問。這種擔憂源于重新解釋和統計分析網絡安全信息數據的過程，可能會導致數據的濫用。因此，實施網絡安全數據編織的組織必須考慮對人工智能模型過度使用數據進行限制。

應用建議

要安全、科學地實現網絡安全數據編織并不容易，建議企業在引入網絡安全數據編織技術時應遵循以下原則：

1.明確應用的目標與需求

企業首先要明確具體的安全目標以及希望通過該平臺實現的用例。這包括詳細記錄當前面臨的安全痛點，確定希望通過自動化增強的流程類型，并深入理解需要緩解的威脅和風險。在明確應用目標的過程中，企業可以組織跨部門的研討會，邀請安全團隊、IT 團隊、業務部門、合規部門等利益相關部門共同參與，全面梳理企業的安全防護需求，并進行詳細的流程梳理和分析。

以最常見的漏洞管理流程為例，傳統的漏洞管理需要人工定期進行漏洞掃描、結果分析、修復建議制定和修復進度跟蹤等工作，效率低下且容易出現疏漏。通過引入網絡安全數據編織，企業可以實現漏洞掃描的自動化調度、掃描結果的自動分析和風險評級，以及修復建議的自動生成和推送。同時，系統還能夠實時跟蹤修復進度，及時提醒相關人員進行處理，大大提高了漏洞管理的效率和效果。

2.評估主流廠商的技術方案

在明確目標后，企業需要對市場上的主流技術方案進行評估。重點關注供應商提供的預編織集成功能，以及是否能夠提供充分的網絡安全上下文情境整合。數據規范化和豐富化能力的廣度和深度，將直接決定數據編織技術是否符合企業的綜合分析需求。

在評估過程中，企業可以制定詳細的評估指標體系，從功能、性能、易用性、可擴展性、安全性等多個維度對廠商方案進行評估：在功能方面，考察方案是否具備全面的數據收集能力，能否支持多種數據源的接入；在性能方面，關注方案在處理大量數據時的響應速度和穩定性；在易用性方面，評估方案的操作界面是否友好，是否提供便捷的數據分析工具；在可擴展性方面，考慮方案是否能夠方便地與企業現有的安全系統和基礎設施進行集成，以及是否具備良好的升級和擴展能力；在安全性方面，檢查方案本身的安全防護措施是否完善，是否能夠保障數據的安全存儲和傳輸。

3.穩步有序推進試點應用

在部署初期，企業可以選擇一些相對簡單且具有代表性的安全場景進行試點。例如，針對企業內部的郵件系統安全，將郵件服務器的日志數據接入網絡安全數據編織平臺，通過分析郵件流量、發件人信息、郵件內容等數據，檢測是否存在釣魚郵件、惡意郵件等安全威脅。通過這些試點項目，安全團隊可以熟悉數據編織的使用方法，發現并解決在數據接入和配置過程中遇到的問題，同時也能夠驗證平臺在實際應用中的效果。 

隨著試點項目的成功實施，企業可以逐步擴大部署范圍，將更多的安全設備、系統和數據源接入數據編織平臺，如防火墻、入侵檢測系統、終端設備等。在這個過程中，要注意數據的質量和一致性，對不同數據源的數據進行清洗和規范化處理，確保數據能夠被有效分析和利用。同時，要建立完善的監控和運維機制，及時發現和解決平臺運行過程中出現的問題，保障平臺的穩定運行。 

由于具有識別和提煉大量數據的能力，數據編織技術可能代表了許多組織新一代網絡安全能力構建的未來，為企業在復雜的網絡環境中指明了前行的方向。通過明確目標、審慎評估供應商產品，并確保所選技術與企業現有技術基礎設施相匹配，企業能夠迅速提升安全計劃的實施速度和效果。它不僅能夠改善威脅檢測能力、加快事件響應速度，還能讓企業更全面地了解自身的安全態勢。在不斷演進的網絡威脅環境中，如果能夠應用得當，網絡安全數據編織將成為安全團隊主動防御的有力武器，助力企業邁向由人工智能驅動的網絡安全運營新時代。

參考鏈接：

https://www.techtarget.com/searchsecurity/opinion/Making-a-case-for-the-cybersecurity-data-fabric。