31、迈向数据驱动的安全之路

迈向数据驱动的安全之路

1. 数据驱动安全的基础要素

1.1 明确问题与数据获取

在构建数据驱动的安全体系时，首先要明确数据能够解答的问题。随着获取数据来解答问题的过程推进，可能需要不断细化问题，深入了解数据并再次细化。同时，要做好与他人合作获取数据的准备，因为很可能无法独自掌控所需的全部数据。这就凸显了获得管理层支持的重要性。如果是从业者，应寻求管理层的支持；如果处于管理层，要推动内部的数据共享。仅靠基层努力，数据共享的成效会非常有限，需要跨部门合作来获取数据，过程中难免会遇到各种真实或想象的阻碍，但只要紧盯目标，长期来看努力定会有回报。

1.2 迭代学习

构建数据驱动的安全项目并非遵循传统的瀑布式项目计划，而是一个更具迭代性的过程。每个数据源都有其独特的挑战和机遇，迭代是关键，挫折和挑战与成功一样都是项目的一部分。不要因挫折而气馁，挫折会越来越少，每次都是学习的机会。早期会深刻认识到数据质量的重要性以及构建可重复性流程的益处。例如，在提取数据时可能会发现日期变量损坏、字段被截断等问题，这就需要重复整个流程。因此，不仅要实现数据提取、转换和加载工具的自动化，还应经常引入数据验证流程，在生成最终报告之前就发现数据完整性问题。

1.3 信息共享的挑战与价值

信息安全行业有推动数据共享的趋势，这是好事，但最初会面临缺乏信任以及对数据隐私和保密性的担忧，即使是在组织内部。这是合理的担忧，必须加以解决，但这其实只是信息共享中较容易的部分。实际上，信息共享所需的精力远超人们想象。共享信息时，人们会惊讶地发现准备和共享数据需要大量的时间和精力。可能存在一些不应共享的字段，需要将其移除，然后进行验证，确保只共享预期的数据。