- 安全分析與安全智能調(diào)研報告 推薦度:
- 相關(guān)推薦
2014年安全分析與安全智能調(diào)研報告
2014年10月份,緊接著2014年度日志管理調(diào)研報告(Log management survey),SANS又發(fā)布了2014年度的安全分析與智能調(diào)研報告(Analytics and Intelligence Survey 2014)。
SANS認(rèn)為,安全分析與日志管理逐漸分開了,當(dāng)下主流的SIEM/安管平臺廠商將目光更多地聚焦到了安全分析和安全智能上,以實現(xiàn)所謂的下一代SIEM/安管平臺。而安全分析和安全智能則跟BDA(大數(shù)據(jù)分析)更加密切相關(guān)。
SANS對安全智能的定義采納了Gartner的定義。而安全智能(Security Intelligence)這個詞的最早定義就來自于Gartner的Fellow——約瑟夫.費曼(2010年的報告——《準(zhǔn)備企業(yè)安全智能的興起》)。這,在2013年的日志分析調(diào)查報告中明確指出來了:企業(yè)安全智能包括對企業(yè)的IT系統(tǒng)中所有跟安全相關(guān)的數(shù)據(jù)的收集,以及安全團(tuán)隊的知識和技能的運用,從而達(dá)成風(fēng)險消減的目的。
今年,SANS對安全分析(Security Analytics,或者叫安全數(shù)據(jù)分析,數(shù)據(jù)分析)給出了一個自己的定義:
The discovery (through various analysis techniques) and communication (such as through visualization) of meaningful patterns or intelligence in data.【對數(shù)據(jù)中有意義的模式或者情報(通過多種分析技術(shù))進(jìn)行發(fā)現(xiàn)和溝通(例如通過可視化方式)】
SANS還追溯了一下安全分析的起源,其實早在1986年就正式出現(xiàn)了。從最早的IDS,到后來的SIEM,再到現(xiàn)在的安全智能,形成了一條安全分析的發(fā)展時間線。
關(guān)于安全智能,SANS做了一個腳注,就是安全智能不是自動化的機器智能,還需要訓(xùn)練有素安全分析師的參與。
報告中,SANS還給威脅情報下了一個定義:Threat intelligence is the set of data collected, assessed and applied regarding security threats, malicious actors, exploits, malware, vulnerabilities and compromise indicators.
【注:安全智能跟安全/威脅情報中都有一個相同的英文Intelligence,但是含義還是有所區(qū)別的】
SANS對350位IT專業(yè)人士進(jìn)行了調(diào)查問卷。報告顯示:
1)有47%的用戶依然投資在SIEM上,通過增強的SIEM獲得安全分析的能力;
2)27%的用戶將內(nèi)部威脅情報關(guān)聯(lián)應(yīng)用于SIEM;
3)61%的用戶認(rèn)為大數(shù)據(jù)將在安全分析中扮演必不可少角色(36%認(rèn)為大數(shù)據(jù)扮演關(guān)鍵角色,25%認(rèn)為大數(shù)據(jù)是必要的,但不是最關(guān)鍵的);
4)47%的用戶認(rèn)為他們的情報和分析實踐初步實現(xiàn)了自動化。
SANS進(jìn)行了多項有針對性的調(diào)查。其中,“攻擊檢測與響應(yīng)的障礙”首當(dāng)其沖的是缺乏對應(yīng)用、以及支撐的系統(tǒng)和脆弱性的可見性(39.1%);排在第二的障礙是難以理解和標(biāo)識正常行為,進(jìn)而導(dǎo)致無法識別異常行為;排在第三位的是缺乏訓(xùn)練有素的人;排在第四位的是不知道哪些是關(guān)鍵的需要采集的信息,以及如何進(jìn)行關(guān)聯(lián)。
在問及“安全分析人員主要看什么系統(tǒng)產(chǎn)生的日志”時,57%的人選擇了傳統(tǒng)的邊界防御設(shè)備(FW/IDP)產(chǎn)生的告警;42%的人選擇了終端監(jiān)測系統(tǒng)的告警(譬如防病毒)。此外,有37%的人選擇了“SIEM的自動化告警”,還有32%的人選擇了通過SIEM/LM去進(jìn)行事件分析,并手工產(chǎn)生告警。SANS認(rèn)為,調(diào)查結(jié)果表明下一代的SIEM具備自動化分析和智能告警的能力。
在問及“實現(xiàn)安全智能需要跟哪些檢測技術(shù)交互”時,幾乎各種檢測技術(shù)都有涉及,印證了安全智能的技術(shù)交互的廣泛性。在目前,主要交互(對接)的是FW/UTM/IDP、漏洞管理、基于主機的惡意代碼分析(終端防病毒)、SIEM、LM。在未來,計劃要交互的主要是基于網(wǎng)絡(luò)的惡意代碼分析(沙箱)、NAC、用戶行為監(jiān)控。
在問及“對當(dāng)前安全分析能力的滿意度”時,最滿意的是分析的性能與響應(yīng)時間,最不滿意的是安全分析的可見性,分析師的培訓(xùn)以及分析師的緊缺排在最不滿意的第三位。
在問及“應(yīng)用安全分析最有價值的作用”是什么時,首選最高的是發(fā)現(xiàn)未知威脅,次選最高的是檢測內(nèi)部威脅,第三選擇最高的是降低錯報。
在問及“未來對安全分析/智能的投資”領(lǐng)域時,67%的受訪者選擇了培訓(xùn)/人員,其次是事故響應(yīng)能力,第三是SIEM(47%)。此外,選擇基于網(wǎng)絡(luò)包的分析、用戶行為監(jiān)控、情報、大數(shù)據(jù)分析引擎的人都超過了20%。
【安全分析與安全智能調(diào)研報告】相關(guān)文章:
安全分析與安全智能調(diào)研報告07-23
安全調(diào)研報告02-21
安全培訓(xùn)調(diào)研報告04-05
勞動安全調(diào)研報告03-23
安全生產(chǎn)調(diào)研報告06-21
學(xué)校安全的調(diào)研報告12-29
安全工作調(diào)研報告10-28
行業(yè)分析調(diào)研報告10-24