SANS 2023年安全分析與安全智慧型調研報告

2023年10月份，緊接著2023年度日誌管理調研報告（log management survey），sans又發布了2023年度的安全分析與智慧型調研報告（analytics and intelligence survey 2014）。

正如我之前部落格所述，sans認為安全分析與日誌管理逐漸分開了，當下主流的siem/安管平台廠商將目光更多地聚焦到了安全分析和安全智慧型上，以實現所謂的下一代siem/安管平台。而安全分析和安全智慧型則跟bda（大資料分析）更加密切相關。

sans對安全智慧型的定義採納了gartner的定義。而安全智慧型（security intelligence）這個詞的最早定義就來自於gartner的fellow——約瑟夫.費曼（2023年的報告——《準備企業安全智慧型的興起》）。這，在2023年的日誌分析調查報告中明確指出來了。

今年，sans對安全分析（security analytics，或者叫安全資料分析，資料分析）給出了乙個自己的定義：

the discovery (through various analysis techniques) and communication (such as through visualization) of meaningful patterns or intelligence in data.

sans還追溯了一下安全分析的起源，其實早在2023年就正式出現了。從最早的ids，到後來的siem，再到現在的安全智慧型，形成了一條安全分析的發展時間線。

關於安全智慧型，sans做了乙個腳注，就是安全智慧型不是自動化的機器智慧型，還需要訓練有素安全分析師的參與。【好吧，正如我之前反覆強調的那樣】

sans對350位it專業人士進行了調查問卷。報告顯示【我摘錄我關注的內容，而不是全部內容，請見諒】：

1）有47%的使用者依然投資在siem上，通過增強的siem獲得安全分析的能力；

2）27%的使用者將內部威脅情報關聯應用於siem；

3）61%的使用者認為大資料將在安全分析中扮演必不可少角色（36%認為大資料扮演關鍵角色，25%認為大資料是必要的，但不是最關鍵的）；

4）47%的使用者認為他們的情報和分析實踐初步實現了自動化；

sans進行了多項有針對性的調查。其中，「***檢測與響應的障礙」首當其衝的是缺乏對應用、以及支撐的系統和脆弱性的可見性（39.1%）；排在第二的障礙是難以理解和標識正常行為，進而導致無法識別異常行為；排在第三位的是缺乏訓練有素的人；排在第四位的是不知道哪些是關鍵的需要採集的資訊，以及如何進行關聯。【想想，國內也差不多啊，而且應該更嚴重】

在問及「安全分析人員主要看什麼系統產生的日誌」時，57%的人選擇了傳統的邊界防禦裝置（fw/idp）產生的告警；42%的人選擇了終端監測系統的告警（譬如防病毒）。此外，有37%的人選擇了「siem的自動化告警」，還有32%的人選擇了通過siem/lm去進行事件分析，並手工產生告警。sans認為，調查結果表明下一代的siem具備自動化分析和智慧型告警的能力。

在問及「實現安全智慧型需要跟哪些檢測技術互動」時，幾乎各種檢測技術都有涉及，印證了安全智慧型的技術互動的廣泛性。在目前，主要互動（對接）的是fw/utm/idp、漏洞管理、基於主機的惡意**分析（終端防病毒）、siem、lm。在未來，計畫要互動的主要是基於網路的惡意**分析（沙箱）、nac、使用者行為監控、

在問及「對當前安全分析能力的滿意度」時，最滿意的是分析的效能與響應時間，最不滿意的是安全分析的可見性，分析師的培訓以及分析師的緊缺排在最不滿意的第三位。

在問及「應用安全分析最有價值的作用」是什麼時，首選最高的是發現未知威脅，次選最高的是檢測內部威脅，第三選擇最高的是降低錯報。

在問及「未來對安全分析/智慧型的投資」領域時，67%的受訪者選擇了培訓/人員，其次是事故響應能力，第三是siem（47%）。此外，選擇基於網路包的分析、使用者行為監控、情報、大資料分析引擎的人都超過了20%

【參考】

sans：2023年日誌管理調查報告

sans：2023年度安全分析調查報告

SANS 2023年安全分析與安全智慧型調研報告

SANS 2023年度安全分析（日誌管理）調查報告

SANS 2023年度安全分析（日誌管理）調查報告

日誌分析與安全

SANS 2023年安全分析與安全智慧型調研報告

SANS 2023年度安全分析（日誌管理）調查報告

SANS 2023年度安全分析（日誌管理）調查報告

日誌分析與安全

相關推薦