企业目前的安全工作完全放错了位，他们只是一味关注如何阻止罪犯，而不是把精力集中于如何第一时间发现入侵者。

　　研究表明，企业86%的安全开支用于防止黑客入侵上。但入侵者潜入公司电脑以后，平均416天才会被发现。

　　因此，这些不良分子一年到尾都在公司内，目前系统根本不足以发现它们。甚至公司还不是自己发现它们的；94%情况下都是由别人告诉它。

　　想要驱逐这些坏分子还真是困难，因为一开始你就没意识到他们的存在。你根本不知道他们在哪里。你尝试修复被盗数据，但坏分子可能无所不在。他们究竟隐藏在哪里呢？研究表明，相比2年前，现在需要71%的额外时间才能发现这些家伙。

　　入侵阶段

　　答案就是停止把所有资源用于阻止入侵上，重新分配资源到各个入侵阶段。

　　把每个入侵阶段都看做建立防御的立足点。我认为短期内最有希望实现的目标是，在对方入侵但尚未盗取数据时，第一时间将其擒拿。

　　入侵过程可分为5个独立连锁阶段，该想法最初由LockheedMartin提出。第一阶段是研究，也就是潜在入侵者研究系统和员工的阶段，由于员工们通常对Facebook情有独钟，该阶段对入侵者来说相对简单。

　　第二阶段为渗透，也就是罪犯入侵阶段。然后是第三阶段：发现，主要是通过探索内部环境以调查系统安全，并确定最敏感数据位置。第四阶段是捕获。

　　90%情况下，入侵者盗取的都是智力财产或客户数据或某种信息。有时也伴随着明显的物理破坏，但很罕见，过去5到10年一共发生了3起物理破坏事件。蠕虫病毒，火焰病毒，一般就是这类型技术---通常都是网络战技术，而不是典型的犯罪。

　　最后的阶段就是渗出。这是“清除数据”的花哨军事术语。入侵数据可以以电子加密的方式，通过43端口和SSL通信口输出-那是很难发现的。或者，如我知道市场营销组有很不错的客户数据，也可以入侵并窃取几台笔记本电脑。

　　如果安全投资集中在入侵过程的第二阶段，那么企业将不可避免变得十分脆弱，尤其是在入侵者窃取前的第三阶段。

　　如果你细细打量当今的入侵类型，你会发现，他们通常以损害用户认证信息的形式出现。他们偷走我的密码，然后模仿我的行为，所以你迫切希望找出这些非寻常行为。

　　“我做事有章可循，如果我表现异常时，你就应该好好调查一番了。”

　　为分析大数据而设的工具，就是用于此。