惠普安全负责人表示，企业目前的安全工作完全放错了位，他们只是一味关注如何阻止罪犯，而不是把精力集中于如何第一时间发现入侵者。

研究表明，企业86%的安全开支用于防止黑客入侵上，惠普高级副总裁兼企业安全产品总经理ArtGilliland说道。但入侵者潜入公司电脑以后，平均416天才会被发现。

“因此，这些不良分子一年到尾都在公司内，目前系统根本不足以发现它们。甚至公司还不是自己发现它们的;94%情况下都是由别人告诉它，”Gilliland说。

“想要驱逐这些坏分子还真是困难，因为一开始你就没意识到他们的存在。你根本不知道他们在哪里。你尝试修复被盗数据，但坏分子可能无所不在。他们究竟隐藏在哪里呢?我们最近的研究表明，相比2年前，现在需要71%的额外时间才能发现这些家伙，”他说。

据Gilliland，答案就是停止把所有资源用于阻止入侵上，重新分配资源到各个入侵阶段。

“把每个入侵阶段都看做建立防御的立足点。我认为短期内最有希望实现的目标是，在对方入侵但尚未盗取数据时，第一时间将其擒拿，”他说。

Gilliland称，入侵过程可分为5个独立连锁阶段，该想法最初由LockheedMartin提出。第一阶段是研究，也就是潜在入侵者研究系统和员工的阶段，由于员工们通常对Facebook情有独钟，该阶段对入侵者来说相对简单。

第二阶段为渗透，也就是罪犯入侵阶段。然后是第三阶段：发现，主要是通过探索内部环境以调查系统安全，并确定最敏感数据位置。第四阶段是捕获。

“90%情况下，入侵者盗取的都是智力财产或客户数据或某种信息。有时也伴随着明显的物理破坏，但很罕见，我记忆中，过去5到10年一共发生了3起物理破坏事件。蠕虫病毒，火焰病毒，一般就是这类型技术---通常都是网络战技术，而不是典型的犯罪，“Gilliland说。

最后的阶段就是渗出。“这是“清除数据”的花哨军事术语。入侵数据可以以电子加密的方式，通过43端口和SSL通信口输出-那是很难发现的。或者，如果我知道市场营销组有很不错的客户数据，我也可以入侵并窃取几台笔记本电脑，“他说。

如果安全投资集中在入侵过程的第二阶段，那么企业将不可避免变得十分脆弱，尤其是在入侵者窃取前的第三阶段。

“如果你细细打量当今的入侵类型，你会发现，他们通常以损害用户认证信息的形式出现。他们偷走我的密码，然后模仿我的行为，所以你迫切希望找出这些非寻常行为，”Gilliland说。

“我做事有章可循，如果我表现异常时，你就应该好好调查一番了。”

为分析大数据而设的工具，就是用于此，Gilliland说。

“在安全性方面，我们研究大数据已经很长时间了。我们只是没有新工具。柱状数据库的构建，MapReduce以及一些新型技术的使用等，这些方法使得我们不仅能够整合技术数据，还可以整合用户和信息流数据，”他说。

“以前我们根本不可能做到这点，因为你将不得不消耗大量数据，等到系统成功制出所需数据后，就已经太晚了。”

然而，尽管大数据技术可助安全系统更快作出响应，但大多数企业面临的真正挑战在于，技术使用者和安全运营团队的专业知识是否能胜任。

“这些技术不像防火墙或杀毒等阻断技术，它们不能自动运行。这就好比车道上停着辆豪华跑车，汽油全满，车头灯也开着了-我们可以帮助你做到这点，我们可以帮忙部署，并把车放在那里，但如果你不上车，不驾驶它周游列国，那也是于事无补，“Gilliland说。

“是的，我们可以把它设计成自驾车，这样行驶起来更加便利，但该技术其实都很简单。如果你真想找到有能力的对手，那你要必须先学会开车，然后带上你的爱车去越野，但你必须要自己驾驶它啊!”

(责任编辑：)