数据驱动安全

目前，在许多场合下我们都谈到大数据，可能在安全领域也概莫能外。从个人观点出发，我习惯于于根据安全不同的阶段来划分相关领域及系统应用，主要来说包括：

事前：系统上线安全检查（含操作系统、一般应用等的漏洞检查、配置检查）、应用系统的***实验等、安全策略检查；

事中：安全威胁态势感知与应急响应处理、安全策略更新、威胁情报同步；

事后：集中安全审计，审计的范围不仅包含全部的安全基础设施日志、数据库/NoSQL数据库、服务器/终端操作日志，更重要的是包含相关应用系统（如CRM、ERP、资金清算、BLOG等）日志，为了取证、回溯需要可能还应包括pcap文件、所有网络会话以及各类应用元数据（如HTTP应用头或SMTP头）。

而对于集中安全审计，一般意义上的SIEMS已经实在无能为力（如Arcsight），重要是其处理能力和算法/智能能力已经完全无法跟上要求；传统的SIEMS一般仅依赖于规则进行，而符合现代安全或业务安全要求的系统一定应包含自动、智能分析模块（分析各类行为），至于详细内容稍后给出。

所以满足要求的审计系统不是传统意义的SIEMS或SOC，也不是其包装，它们仅仅在采集和标准化部分类似而已。