攻击的复杂性

信息安全实践已经从互联网、周边安全发展为一种深入的防御模式，即在基础设施内外利用多种安全对策（例如防病毒、入侵检测、准入控制代理、虚拟专用网和防火墙等）消除漏洞和制止攻击。由于攻击频率和复杂性的提高，以及攻击范围的迅速扩大正在模糊网络和周边之间的界限，这种防御模式变得尤为重要。攻击者每年会对常见的网络接入点――例如连接互联网的网站服务器或者无线路由器――探测数百次，以寻找可能存在的漏洞。现代的综合性攻击会从组织内外，利用多种――有时是欺骗性的――攻击方法获得未经授权的系统访问权限和控制能力。例如，一种综合性攻击方法会利用欺骗性分组伪装实际目标。病毒、蠕虫、特洛伊木马、间谍软件和自动攻击工具的扩散使得人们很难凭借单个产品消除系统漏洞或者控制病毒传播。

信息过载

层次化的防御模式可以取代分布式基础设施中的不同安全对策，转而依靠正确的调节、及时的操作，人员评估和有效的响应措施。除了服务器和网络设备之外，每个组件可以提供强大的日志和警报功能，从而为异常检测、证据分析、响应和审核等提供足够的信息。不幸的是，这种行业非常好的实践会产生大量的干扰信息、警报和误报，而大部分操作人员必须对其进行辨别和有效地加以利用――即投入大量的时间和资源来正确地分析这些信息。有些企业每天甚至会生成2亿到4亿个控制/警报事件。对于小型和大型企业的IT人员来说，对安全事件和日志数据的手动或者半自动分析都非常繁琐、缓慢和费力。

法规要求