几十年以来，安全领域已经发生了巨大变化。企业不仅需要保护办公室资产和股票等有形资产，同时，随着企业越来越依靠技术和软件来简化日常运营，保护数字财产也变得至关重要。

网络罪犯总在不断尝试获取利润丰厚的业务数据，而网络攻击会对企业财务带来负面影响。根据企业互联网服务提供商（ISP）Beaming的调查显示，在2016年，英国企业因攻击事故损失近300亿英镑。

如果企业想要抵御攻击，监控和威胁检测非常重要，同时，安全分析也正成为抵御攻击的常用方式。安全分析涉及对安全数据的收集、汇总和分析，通常将数据集与复杂的检测算法相结合。

安全分析非常多样化，现在有很多方法来收集数据，包括软件、云资源、外部威胁情报源和网络流量等。根据Markets & Markets等报告显示，在2016年，安全分析行业价值28.3亿美元，到2021年将达到98亿美元。但这个行业是否存在炒作呢？

作为一个市场，安全分析领域包含很多供应商。从老牌企业到快速成长的初创公司，企业面对着很多选择，其中包括BAE Systems、E8 Security、Fortinet、惠普企业（HPE）、Huntsman Security、IBM、McAfee（前身是Intel Security）、LogRhythm、RSA、Securonix和Splunk等。

美国科技巨头IBM是该这一领域的领先供应商之一，IBM提供广泛的软件，他们将分析放在网络安全的核心。IBM为企业提供工具可检测和识别最大安全威胁，该公司提供的功能包括日志管理、风险管理、漏洞管理、配置管理、事故取证和行为分析等。

IBM Security Europe首席技术官Martin Borrett称，人工智能（AI）和分析已经成为网络安全领域的领跑者，越来越多的企业开始投资于这些技术。

Borrett还指出：“复杂的网络犯罪正以惊人的速度增长，我们需要寻找替代方法来打击网络犯罪，其中一种方法就是通过AI和高级分析。”

“在当今的市场中，我们看到大家对这一技术非常有信心，也看到日益增长的部署率。IBM商业价值研究院研究发现，近60%的安全专家认为认知安全系统可显著减少网络犯罪。该研究还显示，在未来两三年，部署认知安全系统的企业比率将会增加三倍，从7%增加到21%。

“我们看到很多公司都在积极尝试认知技术和分析，这让他们在安全服务方面经历了很多改变，从更快更明智的决策到减少事件响应时间、复杂性和成本等。如果没有这些技术，非结构化数据将仍然是网络防御的致命弱点，因为这是一个巨大的盲点，占所有数据的80%以上。”

新型安全技术的崛起

部署安全分析可能需要时间和金钱，特别是当企业还在使用过时的硬件和软件。企业安全供应商ProtectWise联合创始人兼首席技术官Gene Stevens称，很多首席信息安全官发现很难以经济高效且易于管理的方式在长时间内保留取证数据。而他的公司采用了一种智能的分析平台来解决这个问题。

Stevens称：“在网络活动数据得以保存后，在发现攻击时，安全团队就可回过头检查并确定他们是否受到攻击的影响，并可评估其影响程度。然而，保存取证数据等传统方法成本高昂且部署费力。同时，随着工作负载转移到云端，这些传统产品更加无法适应，而难以跟上攻击技术的变化。对此，我们采用了一种新型企业安全方法来解决这些挑战。”

该公司的ProtectWise Grid平台可获取全保真网络流量以进行实时和回顾性分析，自动化大部分影响评估及数据收集工作，从而实现快速简便的安全分析。

Stevens指出：“这使得部署和扩展变得很容易，并且，这种回顾性技术和无限制保留窗口可让CISO有信心地宣称，他们的企业不容易受到新威胁的攻击，甚至可追溯一整年的数据。”

LogRhythm成立于2013年，该公司是安全分析领域的又一先驱者。尽管该公司的产品组合很广泛，但该公司目前已经开始将大部分注意力集中在机器学习等新技术。他们已经开发出AI引擎可实时处理安全分析数据，以协助检测高级威胁。

LogRhythm公司Emea（欧洲、中东和非洲）地区副总裁兼执行董事Ross Brewer表示：“随着围绕安全分析等炒作加剧，我们正看到五花八门的先进技术涌入市场。目前的安全情报和数据分析工具可对现有安全工具的数据进行自动汇总、关联和分析取证，这些数据包括来自防火墙的日志数据以及来自行为分析系统的用户行为数据等。”

“这可帮助那些原本需要手动执行这些活动以发现最大威胁的工作人员减轻负担。这种水平的洞察力在正确的时间将正确的信息传递给合适的人，这样攻击就可在最早阶段被发现，甚至在发生之前就能被发现。”

有价值的业务工具

总部位于美国的Vasco同样是安全分析领域的领导者，该公司开发的技术正用于汇丰银行、美国银行、德意志银行和花旗银行在内的全球最大银行保护敏感信息和交易。该公司的客户多达10,000多名，遍布全球100个国家。

Vasco公司产品主管Giovanni Verhaeghe称，尽管安全分析仍处于早期发展阶段，但它已被证明是有价值的业务工具。

他表示：“企业可基于对收集的数据的分析做出明智的安全决策，而分析技术会随着时间而变得更加智能-这要归功于其机器学习功能。”

“例如，基于安全分析的风险引擎已经可决定用户是否能以不同于传统一次性密码（OTP）的方法进行特定交易。风险引擎还可分析用户的环境和行为，并根据各种参数来做出决策。因此，更详细的决策过程给交易安全带来保障，而不是基于简单的‘是或否’的OTP。”

尽管安全分析可给企业带来显著优势，但它也不是没有问题，Verhaeghe称，复杂数据的兴起将给CISO带来挑战。

他表示：“面对前所未有的数据量，特别是物联网（IoT）等技术等发展，这里的主要挑战是如何定义正确的参数和预期的结果。CISO将需要清楚地说明该技术可带来什么改进，以确保数据得到适当处理以及抵御威胁。”

IT安全公司Rapid7首席产品官Lee Weiner是安全分析技术的坚定支持者，他表示安全分析最大的吸引力在于能够提高可视性和生产力，“这里主要的优势是提高可视性，查看和分析指标的新方法，甚至还有创造KPI（关键绩效指标）的机会。其他优势包括提高安全专业人员工作效率，以及减少风险和抵御攻击。”

安全分析不断发展

不可否认的是，安全分析在商业世界中非常受欢迎，但它是否真的那么好呢？NTT Security公司研究与开发总监Daniel Dalek称，这项技术正在改变商业格局，并正迅速成熟。他说：“在过去几年中，安全分析发展迅速，毕竟传统方法已经无法应对日益增加的数据量。”

“这种改变推动对专有存储的使用、探索性分析新工具的部署，以及专注于流媒体应用和AI或机器学习方法的部署来对抗低效率的基于签名检测。从短期来看，这种技术转变是资源密集型，因为它涉及技术堆栈的所有层面，而且大多数安全供应商都要努力适应该技术带来的改变。”

“NTT Security已经开始看到一些长期好处，特别是通过构建精炼的数据集来训练我们的机器学习模型。这使我们可脱离技术堆栈，并将我们的检测能力扩展到各平台和数据库。”

富士通公司高级网络威胁情报经理Paul McEvatt认为，随着机器学习等技术的兴起，安全分析技术正在不断发展并发挥其潜力。

他表示：“现在收集日志非常重要，了解端点正在发生什么比以往任何时候都更重要。但在端点安装防病毒软件不再被视为足够的保护，事实上，依赖签名或规则关联的技术已经远远不够。好消息是，技术正在改进。机器学习、AI和自动化及编排等新概念正在推动这一变革。”

“这方面很好的例子是SIEM（安全信息和事件管理），这个传统纵深防御层通常被看作是集成层，它可从各种来源收集日志，让团队可执行安全分析。随着安全自动化和编排概念的引入，这种模型将会改变。这些将成为真正的集成层，SIEM将只是该堆栈的一个技术组件。”

McEvatt补充说：“现在越来越明确的是，编排多种安全技术，通过API（应用程序编程接口）将它们整合以及通过威胁情报将背景信息应用到事件ticket，这是安全操作的下一个生命周期。如果应用得当，自动化事件到一定水平，而不会涉及传统一线和二线团队，这将改善事件响应指标，让工作人员腾出时间来进行真正的安全分析和主动威胁搜索。”

网络安全威胁正变得越来越复杂，企业必须立即采取行动以防止黑客入侵。目前企业可通过多种方式来提高防御水平，而安全分析已经成为最流行的方法之一。在AI和机器学习等先进技术等带领下，企业将获得对关键IT系统的更高可视性。