最基本的安全分析方法助力企业保护资产（一）

安全管理人员一直在探求改善信息安全的最佳方法。在此过程中，他们发现成功的秘密就在企业当中，健全的安全就存在于日志数据、元数据、非结构化数据以及大量的其它数据中。“只在此山中，云深不 知处”。但是，找到适当的数据并得出对IT和企业来说有意义的科学结论绝非易事。下面谈几个可以更好地理解IT风险的最佳安全分析方法，使企业更好地保护资产。

1、不要认为SIEM全面解决了你的安全需要

许多企业试图深入地进行安全分析，这就需要重新思考他们进行分析所使用的数据。企业安全团队也许会确信已经全面解决了安全分析问题，因为他们已经拥有了SIEM或日志管理，但除了日志之外，安全人员还需要关注其它的许多数据。从包括人力资源记录到欺诈性数据在内的一切数据在传统上一般都不属于IT安全的范围，但正是这种数据与IT的安全数据有着非常有意义的结合点。企业并没有充分利用数据，没有充分发挥数据的全部功能。如果企业能够真正挖掘环境中的非结 构化数据、元数据或者环境外的非结构化数据等，将极大地改善安全状况。

2、不能仅仅关注关于攻击者的数据

把重点从SIEM数据中转移出来还有另一个目的，因为大量的元数据、记录数据以及关于网络的其它数据都日益受到安全分析的重视。安全人员应更密切地关注企业的准备状态，而不仅仅重视关于潜在攻击者的数据。这也是成熟企业更好更全面地认识企业风险的一个重要标志。

“知彼知已，百战不殆”。安全团队不要仅仅重视分析攻击者，还要考虑一下自身。在此，不妨遥想一下战争年代作战指挥部的情形。战争的谋略家和指挥家们围绕 在一张桌子旁，桌子上摆放着象征着不同物件或人物的模型。此时，他们已经获得了关于敌方行动的情报，这就像安全管理者获得SIEM的日志一样。但对于战争游戏，有两个至关重要的要素：军队部署和地形侦察。如果指挥者不知道自己的军队在哪里，作战指挥部就是在纸上谈兵，其决策毫无用处。如果指挥者没有掌握准确的地形信息，其思考和决策也必然存在巨大误差。对于信息安全而言，对网络的调查就相当于侦察地形，知道资产、防御及其状态就如同明确军队部署一样。对付攻击者，不能仅看他们在日志中的信息，还要确切地知道企业的资产是如何组织的，网络结构又是怎样的。毛泽东说“没有调查就没有发言权”，对于网络安全亦如此。

3、确定企业的重要问题

在安全团队寻找日志数据之外的其它数据源时，在决定衡量和分析哪些方面问题上，企业在行业中的地位、业务流程、企业资产等都扮演着重要角色。
在部署安全措施时，不可“抄袭”。对企业来说，理解自己所处的位置及被攻击的地方是很重要的。不同的企业有不同的攻击者，因而需要制定对付这些攻击者的具体 措施。企业需要衡量每位员工容易在哪些方面暴露，确定或至少猜测一下关于企业数据的特征和攻击者会如何攻击的特定信息，强化关于企业具体业务的安全方法。 这就是“具体问题具体分析”。