31、迈向数据驱动的安全之路

迈向数据驱动的安全之路

1. 明确问题与数据获取

在推动组织走向数据驱动的安全时，首先要明确数据能够回答的问题。在获取数据解答问题的过程中，可能需要不断细化问题，深入了解数据并再次细化。同时，要做好与他人合作获取数据的准备，因为你可能并非所需全部数据的保管者。这就凸显了获得管理层支持的重要性。如果是从业者，应寻求管理层支持；如果处于管理层，要推动内部的数据共享。基层推动数据共享的成效往往有限，需要让更多人参与进来，甚至跨越部门壁垒获取数据。在这个过程中，必然会遇到各种真实或想象的阻碍，但要始终紧盯目标，从长远来看，这些努力会有回报。

2. 迭代学习

构建数据驱动的安全项目并非遵循传统的瀑布式项目计划，即任务预先定义并依次执行。它更像是一个迭代的过程，从问题到解决方案的路径可能错综复杂。每个数据源都有其独特的挑战和机遇，迭代是关键，挫折和挑战与成功一样，都是项目的一部分。不要气馁，挫折会越来越少，每次挫折都是学习的机会。早期就会深刻体会到数据质量的重要性以及构建可重复性流程的益处。很快就会发现，在提取数据时可能会遇到日期变量损坏、字段截断等问题，这就需要重新执行整个流程。因此，不仅要实现数据提取、转换和加载工具的自动化，还应经常引入数据验证流程，在生成最终报告之前就发现数据完整性问题。

3. 信息共享的挑战与价值

信息安全行业有一股推动数据共享的力量，这是好事。但最初的反对意见（也是组织内部可能遇到的重大阻碍）是缺乏信任以及对共享数据的隐私和保密性的担忧，即使是在组织内部。这是合理的担忧，必须加以解决。然而，这实际上只是信息共享中相对容易的部分。信息共享往往比人们想象的要困难得多。当共享信息的人意识到准备和共享数据所需的时间和精力被低