当今的安全局势不容采取临时安全措施。处理“大数据”时，关于 IT 和业务的数据的数量和类型极多，难以用临时方式来处理。此外，保护收集到的数据中有意义的信息，变得越来越困难。

尽管大多数组织对信息安全进行了大量投资，攻击者看起来仍略胜一筹。根据 Verizon 数据违规调查报告 (2012) 指出，91% 的违规都会导致数据在几天甚至更短的时间内受损，而 79% 的违规需要几个星期甚至更长时间才会被发现。有多个因素可以说明此问题：

攻击者变得更加有组织，并且资金更雄厚。在攻击变得更加动态的同时，防御却保持静态。当今的攻击旨在利用我们以用户为中心、高度互联的基础架构的弱点。支持 IT 的组织继续成长，变得更加复杂。组织现在需要更加开放且敏捷的系统，从而为协作、通信和创新创造更多的新机会。而这也造成了一些新的漏洞，计算机罪犯、黑客行动主义者团体和民族主义者早已学会了如何利用这些漏洞。法规遵从性变得更加影响深远。监管机构和立法机构的规定越来越多。各大公司（尤其是拥有多条业务线或国际运营的公司）越来越难以跟踪当前已有的控制、需要的控制以及如何确保控制措施受到适当地管理。

这些因素在 IT 环 境中共同作用，使得安全管理变得更加复杂，并且各方面互相依赖关系更高，责任范围更大。随着更多业务流程变为数字化，在收集和管理更多数据方面，安全团队 所面临的既有机会也有挑战。组织对日志管理、漏洞管理、身份管理和配置管理工具投入越来越多的资金，但是，违规事故依然继续发生，并导致比以往更多的损失 和费用。

用于安全管理的真正的“大数据”策略必须涵盖所有三个方面（即基础架构、分析工具和智能），才能适当地解决当前面临的问题。

要从收集的数据中提取价值、提高威胁管理活动的效率以及使用法规遵从性活动来推动决策 制定，安全团队需要使用“大数据”方法来进行安全管理。这意味着：

采用敏捷的“横向扩展”基础架构来响应不断变化的 IT 环境和不断发展的威胁。安全管理需要支持影响 IT 的 新业务计划，从新的应用程序到新的交付模式，例如移动性、虚拟化、云计算和外包。安全管理基础架构必须能够在企业层面上收集和管理安全数据，并进行扩展以 满足当今的企业级需求（包括物理要求和经济要求）。这意味着进行“横向扩展”而非“纵向扩展”，因为将所有这些数据集中化在实际情况中是不可能的。此外， 该基础架构还需要能够轻松扩展以适应新的环境，并时刻准备好发展和完善以支持对不断演变的威胁进行分析。拥 有支持安全分析特性的分析和可视化工具。安全专家需要专业的分析工具来支持其工作。有的分析师需要工具来协助自己找出具备某些支持详细信息的基本事件。经 理们可能只需要关键指标的高级可视化图形和趋势图。恶意内容分析师需要重建可疑的文件和工具，以便自动执行这些文件的测试。网络取证分析师需要全面重建关 于某个会话的所有日志和网络信息，以便精确地确定发生的情况。拥有威胁智能以便对收集的信息应用数据分析技术。组织需要了解当前的外部威胁环境，以便将这些威胁与从组织内部收集到的信息进行关联。这种关联工作对于分析师至关重要，可帮助他们清楚地理解当前的威胁指示因素和他们需要寻找的信息。

“大数据”并不简单地等同于“大量数据”。它需要大量更加智能的分析，以便尽早发现安全威胁，并使用基础架构来大规模收集和处理数据。后文中，我们会描述如何用“大数据”推动高效的数据安全。