网络安全专业对结果的脆弱性有较高的要求。有经验的网络安全专业研究人员可能也发现了,以上关于脆弱性的讨论也适用于例如使用第三方威胁情报等其他方面,解决脆弱性的一般方法在此也适用,比如使用云上或者运营商流量对威胁情报做进一步自动化验证等,限于篇幅在此就不赘述。同样,由安全研究员领域知识和经验出发的规则模型也面临着结果的脆弱性:巧妙的检测规则需要足够的解释性,大量的陈年老酒型白名单规则需要维护和更新以及对抗蓝军的试验和猜测,模型检出结果缺乏可用的分诊重要性排序等等,这些都是规则模型也需要面对的问题。作者在此抛砖引玉,希望有安全研究的专业人士对规则模型的脆弱性及其解决方法展开讨论。
对于数据科学家来说,从系统工程解决脆弱性甚至比提出有效的检测模型更为重要。在大家一直争论的规则模型和数据模型哪个更实用的同时,我们也看到很多不完美的规则或者数据模型在很好的工程实现和运营支持下得到不错的结果,规则模型和数据模型互相验证和分诊,而非互相竞争。这也提醒我们在构建数据模型的时候,要跳出思维局限的井底,从更宽广的系统工程视角解决问题。
运营的脆弱需要数据科学团队和安全运营团地联手解决。在算法模型做到对结果的可解释性并且通过分诊算法将检测结果按重要性排序后,安全运营团队可以根据其提供的上下文快速的做出判断并决定后续的工作。同时,一些方便的数据工具可以帮助快速运营,比如方便好用的图数据库系统,这些可以由工程团队提供。与此同时作者观察到,对数据感兴趣的安全研究员可以是很好的老师,他们可以给数据科学家快速有效的教授相关背景知识,使数据科学团队更深入的理解安全问题并提出数据模型。这些跨越知识鸿沟的努力逐步解决运营的脆弱。
同样,由网络安全专业的需求出发,我们从系统工程角度也对模型的脆弱性进行了讨论,这些讨论和其一般性解决方法也可以适用于图像、视频、语音、风控、自动控制等其他依赖数据模型的行业。总的来说,工业界依赖的数据模型从来都是一个系统工程问题,我们必须从系统工程角度思考设计和解决。