大数据分析在安全方面的优势

使用大数据分析和安全智能的原则可以为安全部门及其组织创造许多好处和价值。本文概述了安全部门通过其各种活动或系统捕获的大量数据如何以新颖的方式用于识别和解决风险。

安全部门通过其各种活动或系统捕获的大量数据正在以新颖的方式用于识别和解决风险（异常），否则这些风险在出现问题之前不会被注意到。这些新方法的原理有时分为“安全智能”和“行为分析”。

一家全球银行：在全球拥有 1 多个站点，拥有 50，000 多名员工，他们热衷于识别其员工尽管在其场所内仍“远程”登录其 IT 系统的情况。这种例外情况涉及身份记录的可能重复，这是一个严重的威胁。正如该银行所发现的那样，他们实现这一目标的“最佳”（廉价、快速和可复制）方法是在其逻辑和物理访问控制系统中应用简单的数据集成和可视化原则。通过这样做，安全团队可以实时收到任何此类异常的通知。这允许即时调查，并帮助银行显着降低风险。

一家财富 500 强组织报告了多起从主校区区域周围不同建筑物被盗的昂贵设备案例。他们怀疑盗窃发生在数小时后，但仅从他们的物理访问控制系统分析访问记录并不是很有帮助。他们有数百人定期在该地点工作到很晚，因此他们无法确定可控数量的嫌疑人。

但是，通过将分析智能应用于一组集成的时间和出勤数据;和物理访问数据，他们能够解决这个问题。他们首先定义了个人和群体的“通常”行为，即他们最常访问哪些区域以及在什么时间访问最多。然后，他们寻找例外情况，即如果某些个人或团体在超出其“通常”行为的时间访问某些区域。

通过进行此分析，一名员工脱颖而出，他的访问模式也与盗窃案相吻合。下次员工在正常工作时间后进入新区域时，安全运营团队会收到通知，随后派一名警卫检查建筑物。小偷被当场抓住了。这种方法不仅帮助他们解开了一个谜团，而且还为他们提供了防止将来发生类似活动的策略。

一个高度安全的研发组织每年花费大量资金对进入校园的每个人进行背景调查。安全预算的减少导致他们改变了政策，因此他们决定对每个人进行“风险评估”，并且只对风险最高的人重新进行检查。然而，这仅仅导致检查频率的减少并显着增加了他们的风险。因此，他们重新定义“风险评估”的方式至关重要。

他们首先考虑了每个人的访问级别、他们在组织工作的时间以及自上次接受背景调查以来的时间。这些信息与他们已知的“行为”相结合，以计算“风险评分”。对风险评分高的个人和整体风险评分突然上升的个人进行了背景调查。这极大地帮助了他们保持高安全级别，同时将他们的运营成本降低了大约 85%。

还有其他几个用例，它们突出了安全部门使用“安全智能”和“大数据分析”原则创造的好处和价值。

• 网站利用率指标 – 网站的使用程度如何？

• 关键绩效指标 – 安全运营团队根据其服务级别协议的表现如何？

• 识别风险指标，例如尾随和未使用的门禁卡。

• 在安全策略或现有技术（如门禁卡和门禁系统）发生变化时进行影响分析。

• 根据分析的数据，通过减少未大量使用的领域的能源使用来支持绿色议程。

然而，所有伟大的想法都需要成功的执行实施才能认识到它们的“伟大”。在这项研究中学习了以下原则，这些原则是成功实现上述目标的关键：

• 确定应通过“安全情报”或“大数据”努力解决的用例。

  基于已知风险、威胁和异常的经验。

• 如有必要，寻找可扩展的解决方案，这些解决方案可以为更大的图景做出贡献。

  与自定义解决方案相比，部署开箱即用的解决方案时，可以轻松实现可伸缩性和可扩展性。

  这有助于组织保护其投资，因为此类解决方案可以用于处理其他第三方系统或业务流程的变化。

• 与专门从事垂直安全的系统供应商合作，并以非自定义/非定制的方式连接到适用的系统（例如访问控制、逻辑人力资源系统、安全设备）。

• 避免使用不了解安全性的供应商提供的通用“大数据”解决方案。

  领域知识非常重要，因为一种尺寸并不适合所有人。

  领域知识加上解决方案提供商的可参考经验意味着更便宜、更短和可扩展的实施。

综上所述，很明显，全球安全部门正在认识到成为业务推动者的机会，并正在调整其目标，以便他们的组织能够高效运行。这与安全部门仅是一个被动和调查团队的传统观点背道而驰，这种观点被不公平地标记为“成本中心”。