(本文原创,由世平信息翻译,转载请注明来源“杭州世平信息科技有限公司”)

在一些“数据孤岛”型企事业单位中,威胁研究员、安全分析师和数据科学专家都在各自的“领地”孤军奋战。殊不知,他们每天面对的数据正是实现多方共赢的捷径。我们的主题当然还是安全,但是安全离不开数据。对安全从业人员来说,那些不懂得数据科学与数据治理的人,我们也难以称之为“专家”。

纯安全数据(web日志、威胁情报等)与业务数据之间的界限越来越模糊,安全团队更加科学地使用和管理各种类型数据的需求迫在眉睫。一条优化用户用户体验的web日志数据可能也是发现攻击者的重要线索,业务数据同理。

安全人员需要数据科学工具完成威胁检测,数据科学家在算法研究方面也应与威胁研究人员紧密协作。“我认为安全专家越来越像数据科学家了” MapR(美国Hadoop数据管理系统厂商)的高级技术员John Omernik这样说道:“我们需要将这些新的算法用于解决日常业务难题。我最希望看到的是信息安全专家能够提升专业技能,学习更多高级数据治理与数据科学的知识。”

“成为一名数据科学家需要耗费大量时间和精力,完全靠自学非常困难” Sophos首席数据科学家Joshua Saxe说:“我认为信息安全从业人员应该像数据科学家和黑客一样地思考。”

下面我们将介绍安全专家科学使用数据的五种方法。

1.数据全局观

信息安全专家应具备更加多元化的技能,除了传统的日志分析,他们还需懂得数据分析、数据治理以及数据科学。无论是开发阻止潜在威胁的新模型还是针对历史数据快速测试新的控制措施、实现业务影响最小化,安全人员都应更加科学地使用数据。如果安全专家无法快速分析和处理即将发生的威胁,那么客户数据、商业秘密、财务数据都将面临极高的风险。

2. 快速访问数据 

如果一个安全专家设计了一套完善的数据保护方案,实施过程中一个复杂且耗时长的步骤就是对某些数据的访问。数据加载一般都会经历一个ETL(数据抽取Extract、转换Transform、加载Load)的过程,平均耗时4-6个月。安全人员需要一个能够解决这个难题的平台,尽可能以最高效的方式完成目标主体的安全防护。平台功能包括数据快速访问与安全控制措施的同时实现,对数据访问进行审计,用于分析的工具也应以安全模式内置于平台中。

3.扩大数据保留范围

在很多大企业中,管理人员都会因为过高的许可成本要求安全人员只保存少部分数据,并限制未来的数据访问量。以发展的眼光来看,一个灵活的数据访问解决方案应从云和本地两条道路齐头并进,在满足业务需要的同时节约成本,限制数据访问的模式,完全没有考虑数据未来的价值。安全专家应存储并保留尽可能多的数据,同时找到数据访问许可模式的扩展方法。经常问自己这个问题非常有必要:明天我还可以轻松地添加数据吗?

4.建立默认情况下的安全机制

为了与数据科学家建立信任度,所有工具和数据在默认情况下都应该是安全的,包括强认证、访问控制和高可用性/冗余。在应对威胁问题时,这些功能都能构建到一个自动化平台中,无须人工干预。这是一种共赢的机制,大家都可以专注于威胁管理,而不需要执行手动任务或反复担心他们的数据是否安全。

5.  采用现代化DevOps方式加速信息安全交付 

缓慢的内部管理流程是安全专家部署威胁解决方案的最大阻碍之一。现代DevOps方式能够为安全专家兼数据科学家们带来工作上的便利,包括容器和编排工具(如Kubernetes),轻松访问经过完善审计的数据等。缓慢的内部流程可能会导致代码部署等待几天甚至几周,最终致使主体单位面临真正的风险。

数据安全与数据治理、数据科学密不可分。杭州世平信息科技有限公司,保护你的数据安全,做你身边的数据科学专家。

查看英文原版,请点击:

https://www.darkreading.com/threat-intelligence/5-ways-to-better-use-data-in-security/d/d-id/1331687

声明:本文来自世平信息,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。