企业如何确定大数据安全分析技术会不会取得实用成效？

大数据是如今安全分析领域的热门词语，可是很多企业用户对此持怀疑态度，因为许多公司耗费数年心血来构建“数据湖”（data lake），到头来发现不可能“将湖排干”、获得实用信息。

更为遗憾的是，如今的解决方案通常包括成本高昂的集群加上静态商业智能报告和“性感”的仪表板，这些报告和仪表板看起来不错，可是对实用、高效的安全分析带来不了多大帮助。着眼于分析，以及如何使用数据（非常有价值的数据），以便做出实时决策，发现关键模式，确定日常的、不断变化的安全政策，并大幅提升安全性，这才是真正实用的。

我们可以看到像谷歌、亚马逊和网飞（Netflix）这些公司，就认识到大数据是一种支持实时数据挖掘技术的出色工具，它可以挖掘分析具有快速度、种类和数量（3V）这些特性的复杂数据集。这些公司将大数据用作其业务的重要组成部分，并结合预测分析技术，以便深入了解顾客想要购买什么或观看什么。这应该是真正实用的安全分析技术应有的模式。

下面这五个“取样测试”（sniff test）将帮助你确定一种提议的方法是否会使用为你带来实用成效的大数据技术：

你的大数据解决方案完全涉及“3V”吗？

如果一家厂商完全着眼于大数据的速度、种类和数量这些问题，那么你的大数据系统可能比SIEM（安全信息与事件管理）来得高效，但是它到头来会成大数据存储陷阱。

厂商需要与你谈论贝叶斯理论、递归、分类算法、维度问题等话题，让大数据具有可预测性、真正可付诸行动，从而发挥其用途。是的，这听起来像是高深莫测的科学，可能很吓人，但这对分析具有动态性的安全事件而言必不可少。

如果你问“你说的安全分析是什么意思？”，会得到什么样的回答？

如果你听到关联、仪表板、查询和警报之类的回复，这是老一套。你需要听到机器学习库、数据立方体和余弦矩阵等。

一切都要基于大数/异数定律――这种技术充分利用大量数据和大量历史记录，自动构建知识库（并不断提高准确性），而不是用户需要盯着静态的聚合数据，或者手动定义明确的安全策略。

你的安全分析系统有闭环回路吗？

分析不是报告。分析有助于做出决策。安全分析不是“事后内容”――它们利用历史信息改进以后的机制。比如说，要寻找这种分析技术：修改你的实时监控机制，并告诉你将什么内容排除在外，重要的是，应专注于什么内容――而不是仅仅向你发送警报的那种分析技术。说到智能安全分析技术，数量增多的数据和合适的算法可大大改善分析和决策效果，并提高系统的效用。

你是否被领往集群越来越庞大这条路？

大数据界已变得很疯狂――只要做很少的工作，就能构建异构集群（大大增添了复杂性）。即使今天你能获得资金，也并不意味着明天也能获得资金；由于目的是聚合来自许多时期和数据源的数据，你需要确保，成本没有随着数据的增加而增加。

通常来说，更多的数据带来更好的效果，但是如果它让你倾家荡产，那也就毫无用处。你应该寻找可以高效扩展的平台。寻找这种系统：使用NoSQL方法、列式数据字段和内存中分布式并行处理架构。高效的系统不需要仅仅为了几TB数据而要部署一个节点，一个节点所能处理的数据量要大得多。

你的数据管理框架是否可以灵活处理各种各样的数据？

大数据有多层次、多种选择，有些会帮助你，而有些很复杂，让你束手无策。大数据支持众多数据类型，因而带来了丰富多样的信息。大数据已经迅速经历了好多代，所以，你要寻找注重简单的现代数据方案，比如使用JavaScript对象标注（JSON）这种灵活数据格式合并大数据的那种方案，这点很重要。