5. 减少网络安全警报流入

　　E8 Security 共同创始人兼首席技术官拉维·德威尔第：建立在全公司通用的阈值/策略上的遗留安全技术，通常会造成过多警报和误报。行为建模和对网络中每个用户、系统、应用、终端制订基线的安全分析，则会为公司的威胁预防工作带来最高的准确度。攻击者行为的检测，例如被盗凭证、命令与控制流量、后门、公司内网巡游等，将不再迷失在噪音中。

　　6. 成为威胁猎手

　　多亏安全分析的使用，威胁狩猎正成为安全运营的一个新兴领域。其与传统安全的一个重要区别，在于‘威胁狩猎’的目标不是检测出恶意软件，而是更倾向于识别出攻击者的存在、行为和动作，并尽可能快地控制起那些行动。安全分析通过提供对网络、用户、终端和应用活动中的行为、模式和异常的可见性，而是威胁狩猎成为可能。

　　7. 利用上下文减少事件响应时间

　　安全运营和事件响应团队在调查安全事件时需要上下文的帮助。安全分析工具能为安全警报和事件调查提供行为情报上下文。跨多个数据孤岛快速互动分析当前和历史行为、模式、异常的能力，能带来更快的事件分析，消除对技术资源和手动分析(通常使用笨重的SIEM或枯燥的搜索引擎)的依赖。

　　8. 首先，缩小攻击范围，然后，补完分析

　　Palo Alto Networks 副总裁兼首席信息安全官卢卡斯·穆迪：安全分析带来了得到更好更有效的检测识别的希望，让我们能够快速响应威胁，挫败攻击者，甚至摆脱攻击者。虽说是个宏伟目标，这一策略的挑战却在于规模。安全分析作为结果，必须存在于缩小攻击范围的目标背后，与威胁预防的强力战略性基础为伍。注重安全的公司，应掀起当前技术利用方式的大变革，实现更强的预防性控制。这么做，将反过来使得分析能够以可控可伸缩的方式解决下游风险。强大的威胁分析师很难找到，且他们需要专注在“少量关键威胁”而非“噪音”上。

　　9. 警惕误报

　　白帽安全公司威胁研究中心副总裁莱恩·奥利：在任何公司里，运营安全项目中更困难的方面之一，就是从可信来源获取正确的安全指标。很多公司都称自己能提供安全分析，但很少有公司能提供有意义的经验证的安全统计数据。在Web应用领域，这种现象尤其突出。主要的问题在于，安全工具常常产出超出想象的大量误报。在购买任何分析之前，一定要确保那家公司在拿出统计数据之前先进行漏洞验证。另外，问清楚误报率，这样你才可以确定提供商的分析有多准确。

　　10. 用分析支持开销

　　安全中最困难的部分，在于合理化对不会产生任何利润的东西的开支，而分析对此有所帮助。为合理化开支，你需要知道风险和财政影响。通过使用分析，你能展示出遭受攻击的可能性，以及实现安全并解决问题的开销。

(责任编辑：安博涛)