很多組織的網絡安全運營工作正在陷入一種“怪圈”:收集一切數(shù)據�,卻一無所獲,但是還要不斷為此投入更多的人力和資金���。而這種怪相的背后����,實際上是一種“無差別數(shù)據收集和囤積”的錯誤運營理念���。
隨著現(xiàn)代企業(yè)安全防護措施的不斷完善,很多安全運營團隊所面臨的困境并非數(shù)據不足����,而是 “錯誤數(shù)據過剩”所導致的運營成本上升�����、檢測能力下降和安全運營團隊過勞等���。在此背景下�����,定期開展數(shù)據“大掃除”成為了很多企業(yè)安全運營工作中的一項核心策略�����。
保持安全運營數(shù)據衛(wèi)生的必要性
在AI技術快速發(fā)展的智能化時代��,數(shù)據驅動已然成為網絡安全技術創(chuàng)新至關重要的 “武器”�����,特別是對于網絡安全運營團隊而言����,AI模式下的體系化風險分析能夠為降低企業(yè)網絡風險提供可行的建議,但這一切的前提是擁有強大而可用的數(shù)據基礎�。
多年來缺乏有效管理的數(shù)據增長,會讓企業(yè)安全運營的數(shù)據環(huán)境變得臃腫���、低效且成本高昂����。如果不能定期進行清理優(yōu)化�,組織的安全運營中心將會淹沒在來自網絡�、終端、云以及其他不斷新增來源的日志和監(jiān)測數(shù)據中���。
實際上���,這些數(shù)據中的大部分都是冗余、無關甚至是純粹的噪音�����,而低價值監(jiān)測數(shù)據的大量存留會直接影響到安全威脅檢測的準確性、效率�����,并降低運營團隊獲取組織真實安全風險態(tài)勢的能力�����。最糟糕的是���,雜亂的安全運營數(shù)據意味著分析師花費在篩選垃圾數(shù)據上的時間遠超過應對實際攻擊事件�。
因此���,組織不能繼續(xù)將安全數(shù)據管理視為 “收集一切”的問題���,必須摒棄 “無差別數(shù)據囤積” 的過時理念,優(yōu)先聚焦于數(shù)據的精選���、情境化和價值效率�����,僅在必要時傳遞關鍵信息����,并最大程度豐富數(shù)據內涵,并將其存儲于最合理的位置��,這樣不僅可以在成本節(jié)約方面占據優(yōu)勢����,也有利于實現(xiàn)更快、更有效的安全運營工作��。
安全運營數(shù)據“大掃除”的5點建議
定期開展安全運營數(shù)據“大掃除”的核心目標就是要確保安全團隊能夠在不被無關監(jiān)測數(shù)據淹沒的前提下���,高效檢測真實的安全威脅�,它必須成為安全運營工作中一項可行且有效的核心策略�����。為了實現(xiàn)這一目標�����,組織可以參考以下步驟對現(xiàn)有的海量安全運營數(shù)據進行清理和優(yōu)化:
用AI替代人工的數(shù)據采集規(guī)則配置
傳統(tǒng)的安全運營工作中��,需要持續(xù)不斷的進行數(shù)據采集規(guī)則調整����,這成為安全運營團隊的巨大工作負擔,而且還會因任務蔓延導致數(shù)據采集方向出現(xiàn)偏離��。隨著安全運營技術的發(fā)展�����,運營團隊可以借助多種新一代技術�����,包括機器學習���、向量分析��、知識圖譜和大語言模型(LLMs)等�����,來實現(xiàn)運營數(shù)據轉換和優(yōu)先級排序的自動化流程�����。
現(xiàn)代安全運營需要更動態(tài)�、更具適應性的數(shù)據處理工作流,因為安全運營數(shù)據并非靜態(tài)的����,所以其采集規(guī)則也不應僵化。人工智能驅動的方法可分析跨數(shù)據集的模式�,而非依賴針對單個警報的脆弱手動規(guī)則。
將安全數(shù)據分層采集和存儲
在很多企業(yè)的安全運營考核體系中��,仍然將數(shù)據采集數(shù)量設為重要的考核指標�,而非依據數(shù)據的內在安全價值。這一考核機制鼓勵過度收集��,迫使安全團隊將精力和預算浪費在很多對實際威脅檢測毫無貢獻的冗余日志上�。安全運營團隊不應為從未生成警報或價值的原始日志浪費資源,更科學的數(shù)據采集要求包括:
-
采用分層存儲策略:將高保真日志盡可能保留在實時分析層�����,同時將批量監(jiān)測數(shù)據歸檔至一些成本效益更高的對象存儲設施中���;
-
將非關鍵數(shù)據卸載到安全數(shù)據湖:支持回溯分析�,避免產生實時性的數(shù)據采集成本�。
-
在數(shù)據采集前對不同設備的運營日志進行去重和預處理:減少數(shù)據采集和存儲過程中的資源浪費,同時保留分析深度���。
優(yōu)先采集高保真數(shù)據�,構建自動化分析能力
對于安全運營工作�����,如何獲取“更好的數(shù)據”是關鍵���。盡管安全數(shù)據本身并無絕對的好壞之分�����,但關鍵在于如何從中有效提取出有價值的威脅洞察���。
長期以來,很多網絡安全廠商推崇 “收集一切” 的產品策略�,但這導致安全數(shù)據的邊際效益遞減,難以實現(xiàn) “去粗取精”�。存儲的無關日志越多,從噪音中識別有意義信號的難度就越大�����。而問題的核心并非數(shù)據過多,而是缺乏能實時提取正確數(shù)據的自動化大規(guī)模分析能力�����。
目前����,有很多創(chuàng)新的數(shù)據密集型提取方式能顯著提升采集效率并拓展數(shù)據的用例,這些方法也為安全日志的價值挖掘創(chuàng)造了機會:
-
安全運營團隊不應將日志視為孤立事件����,而應結合上下文并采用規(guī)模化分析技術����;
-
不應依賴預定義的關聯(lián)規(guī)則,而應動態(tài)挖掘安全數(shù)據���,識別跨大規(guī)模數(shù)據集的趨勢�;
-
安全監(jiān)測數(shù)據在進入下游工具和分析流程前����,應經過預處理、豐富數(shù)據和優(yōu)先級排序�,形成高保真的有效數(shù)據��,而非將原始數(shù)據全部提供給SIEM系統(tǒng)�����。
通過可解釋性與本體模型實現(xiàn)上下文關聯(lián)清理
缺乏上下文的安全警報會拖慢安全團隊的威脅響應速度。每一次檢測都需回答三個關鍵問題:這是真實威脅嗎����?它有多重要?下一步怎么做����?
若沒有自動化的數(shù)據關聯(lián)和豐富機制,分析師只能手動翻查原始日志����,拼湊碎片化信息。通過將安全數(shù)據映射到基于本體的模型(如 MITRE ATT&CK 框架)����,或疊加外部威脅、內部用戶與資產上下文����,運營團隊無需額外人工投入即可獲得更深入的調查背景����。更關鍵的是�,隨著安全運營逐步走向自動化,上下文豐富機制還能為基于邏輯或 AI 代理的自動化決策提供支持���。
在開展網絡安全運營數(shù)據清理時�,實現(xiàn)上下文的關聯(lián)處理至關重要����,因為安全數(shù)據的核心價值就是體現(xiàn)在其能否幫助分析師和檢測工具更快做出更優(yōu)的決策。
不再“自建”安全數(shù)據管理體系
多年來���,安全團隊無奈只能復用日志管理工具����、自定義腳本和 “自建” 方案來理解和利用所采集到的各種安全監(jiān)測數(shù)據�����。但如今�����,一些專為安全數(shù)據工程設計的專業(yè)工具正在崛起:
-
安全監(jiān)測數(shù)據管道可在日志信息進入 SIEM 或 XDR工具前完成清洗、豐富和路由優(yōu)化��;
-
安全數(shù)據湖中常見的 “讀時模式”(Schema-on-Read)架構使安全團隊能夠按需分析數(shù)據����,而非在攝入前預先過濾所有內容�;
-
“無 SOC”(SOCless)模式正在開創(chuàng)無需依賴單體 SIEM 部署的威脅檢測與響應新路徑。
通過這些新一代的工具�,安全團隊無需再與工具進行“搏斗”。安全運營數(shù)據利用的關鍵在于優(yōu)先考慮效率��、數(shù)據豐富性和實時分析�,避免傳統(tǒng)數(shù)據復用模式所帶來的隱性成本。
參考鏈接:https://www.helpnetsecurity.com/2025/03/25/security-data-hygiene/
