XX年10月份,緊接着XX年度日誌管理調研報告(log management survey),sans又發佈了XX年度的安全分析與智能調研報告(analytics and intelligence survey XX)。
sans認為,安全分析與日誌管理逐漸分開了,當下主流的siem/安管平台廠商將目光更多地聚焦到了安全分析和安全智能上,以實現所謂的下一代siem/安管平台。而安全分析和安全智能則跟bda(大數據分析)更加密切相關。
sans對安全智能的定義採納了gartner的定義。而安全智能(security intelligence)這個詞的最早定義就來自於gartner的fellow——約瑟夫.費曼(XX年的報告——《準備企業安全智能的興起》)。這,在XX年的日誌分析調查報告中明確指出來了:企業安全智能包括對企業的it系統中所有跟安全相關的數據的收集,以及安全團隊的知識和技能的運用,從而達成風險消減的目的。
今年,sans對安全分析(security analytics,或者叫安全數據分析,數據分析)給出了一個自己的定義:
the discovery (through various analysis techniques) and communication (such as through visualization) of meaningful patterns or intelligence in data.【對數據中有意義的模式或者情報(通過多種分析技術)進行發現和溝通(例如通過可視化方式)】
sans還追溯了一下安全分析的起源,其實早在1986年就正式出現了。從最早的ids,到後來的siem,再到現在的安全智能,形成了一條安全分析的發展時間線。
關於安全智能,sans做了一個腳註,就是安全智能不是自動化的機器智能,還需要訓練有素安全分析師的參與。
報告中,sans還給威脅情報下了一個定義:threat intelligence is the set of data collected, assessed and applied regarding security threats, malicious actors, exploits, malware, vulnerabilities and compromise indicators.
【注:安全智能跟安全/威脅情報中都有一個相同的英文intelligence,但是含義還是有所區別的】
sans對350位it專業人士進行了調查問卷。報告顯示:
1)有47%的用户依然投資在siem上,通過增強的siem獲得安全分析的能力;
2)27%的用户將內部威脅情報關聯應用於siem;
3)61%的用户認為大數據將在安全分析中扮演必不可少角色(36%認為大數據扮演關鍵角色,25%認為大數據是必要的,但不是最關鍵的);
4)47%的用户認為他們的情報和分析實踐初步實現了自動化。
sans進行了多項有針對性的調查。其中,“攻擊檢測與響應的障礙”首當其衝的是缺乏對應用、以及支撐的系統和脆弱性的可見性(39.1%);排在第二的障礙是難以理解和標識正常行為,進而導致無法識別異常行為;排在第三位的是缺乏訓練有素的人;排在第四位的是不知道哪些是關鍵的需要採集的信息,以及如何進行關聯。
在問及“安全分析人員主要看什麼系統產生的日誌”時,57%的人選擇了傳統的邊界防禦設備(fw/idp)產生的告警;42%的人選擇了終端監測系統的告警(譬如防病毒)。此外,有37%的人選擇了“siem的自動化告警”,還有32%的人選擇了通過siem/lm去進行事件分析,並手工產生告警。sans認為,調查結果表明下一代的siem具備自動化分析和智能告警的能力。
在問及“實現安全智能需要跟哪些檢測技術交互”時,幾乎各種檢測技術都有涉及,印證了安全智能的技術交互的廣泛性。在目前,主要交互(對接)的是fw/utm/idp、漏洞管理、基於主機的惡意代碼分析(終端防病毒)、siem、lm。在未來,計劃要交互的主要是基於網絡的惡意代碼分析(沙箱)、nac、用户行為監控。
在問及“對當前安全分析能力的滿意度”時,最滿意的是分析的性能與響應時間,最不滿意的是安全分析的可見性,分析師的培訓以及分析師的緊缺排在最不滿意的第三位。
在問及“應用安全分析最有價值的作用”是什麼時,首選最高的是發現未知威脅,次選最高的是檢測內部威脅,第三選擇最高的是降低錯報。
在問及“未來對安全分析/智能的投資”領域時,67%的受訪者選擇了培訓/人員,其次是事故響應能力,第三是siem(47%)。此外,選擇基於網絡包的分析、用户行為監控、情報、大數據分析引擎的人都超過了20%。