接上《大数据安全分析：学习Facebook的ThreatData框架（上）》

企业防御的真相

虽然了解敌人很重要，但这并不够。很多企业忘记信息风险由威胁和漏洞组成。企业永远无法真正消除威胁，不过这没关系，毕竟，如果企业不存在涉及补丁、密码和保护不当信息的漏洞，这些威胁还何以构成风险呢？

每周我们都会看到有关“重要新威胁”的头条新闻以及关于“你现在必须抵御的威胁”的耸人听闻的故事。虽然这些消息很吓人，但大多这些问题并不需要对企业的安全做法做出重大改变。来自Verizon、Trustwave等的研究显示，攻击者通常会瞄准来自微软、甲骨文、Adobe和思科的最常见的更新产品中的基本的（和可修复的）漏洞，这些是企业必须首先解决的问题。

企业必须优先完成这些工作。大多数企业不需要新的工作目标；目标几乎总是在他们眼前。企业不应该对相同的老问题投入金钱、人力资源和新技术，企业首先需要纠正导致问题的情况。如果企业不解决这些问题，无论他们部署任何威胁情报框架来获取情报，都无法解决根本问题。

这并不是说Facebook的ThreatData框架不会为其业务增值，或者从长远来看帮助那些利用或允许Facebook访问的企业。但这对Facebook的用户群肯定是好的。这种系统并不会对企业安全团队正试图完成的任务带来影响。企业作出的每个安全决策都需要考虑关于现有和新威胁的全面而详细的信息，例如ThreatData框架提供的信息。此外，有些安全漏洞不受企业的直接控制，例如零日漏洞和Android中的无数漏洞。

企业需要明智地选择其安全做法。ThreatData框架等大数据技术并不能解决企业所有的安全问题，但它们肯定可以补充企业的安全方案，甚至能够为面临高级威胁的企业提供价值。企业能做的最好事情就是从ThreatData中学习经验。Facebook不仅有强有力的安全事件检测和响应做法，而且他们还能够看到更大的视图。可以说，响应是新的检测。这并不是在于阻止攻击者利用所有已知漏洞，而是在于如何最小化对网络的影响。Facebook的ThreatData框架超越了传统NIST和ISO-IEC安全标准，它可以作为构建更全面的方法和管理信息安全风险的基础。