《安全分析与安全智能调研报告》由会员分享,可在线阅读,更多相关《安全分析与安全智能调研报告(4页珍藏版)》请在金锄头文库上搜索。
1、20XX年安全分析与安全智能调研报告20XX年10月份,紧接着20XX年度日志管理调研报告(Log management survey), SANS又发布了 20XX年度的安全 分析 与智能调研报告(Analytics and Intelligence Survey 20XX)。SANS认为,安全分析与日志管理逐渐分开了,当下主流的SIEM/安管平台厂商将目光更多地聚焦到了安全分析和安全智 能上,以实现所谓的下一代SIEM/安管平台。而安全分析和安全智能则跟BDA(大数据分析)更加密切相关。SANS对安全智能的定义采纳了 Gartner的定义。而安全 智能(Security Intellige
2、nce)这个词的最早定义就来自于Gartner的Fellow 约瑟夫.费曼(20XX年的报告准 备企 业安全智能的兴起)。这,在20XX年的日志分析调查 报告中明 确指出来了:企业安全智能包括对企业的IT系统中所有跟安全相关的数据的收集,以及安全团队的知识和技能的 运用,从而达成风险消减的目的。今年,SANS对安全分析(Security Analytics,或者叫安全数据分析,数据分析)给出了一个自己的定义:The discovery (through various analysis techniques) and munication (such as through visualizat
3、ion) of meaningful patterns or intelligence in data.【对数据 中有意义的模式或者情报(通过多种分析技术)进行发现和沟通(例如通过可视化方式)】SANS还追溯了一下安全分析的起源,其实早在1986年就正式出现了。从最早的IDS,到后来的SIEM,再到现在的 安全智能,形成了一条安全分析的发展时间线。关于安全智能,SANS做了一个脚注,就是安全智能不是自 动化的机器智能,还需要训练有素安全分析师的参与。报告中,SANS还给威胁情报下了一个定义:Threatintelligence is the set of data collected, ass
4、essed and applied regarding security threats, malicious actors, exploits, malware, vulnerabilitiesand promiseindicators.【注:安全智能跟安全/威胁情报中都有一个相同的英 文Intelligence,但是含义还是有所区别的】SANS对350位IT专业人士进行了调查问卷。报告显示:1) 有47%的用户依然投资在SIEM上,通过增强的SIEM获得安全分析的能力;2) 27%的用户将内部威胁情报关联应用于SIEM;3) 61%的用户认为大数据将在安全分析中扮演必不可少 角色(36%认
5、为大数据扮演关键角色,25%认为大数据是必要的,但不是最关键的);4) 47%的用户认为他们的情报和分析实践初步实现了自 动化。SANS进行了多项有针对性的调查。其中, “攻击检测与 响应的障碍”首当其冲的是缺乏对应用、以及支撑的系统和 脆弱 性的可见性(39.1%);排在第二的障碍是难以理解和标识正常行 为,进而导致无法识别异常行为;排在第三位的是缺乏训练有素的人;排在第四位的是不知道哪些是关键的需要采 集的信息,以及如何进行关联。在问及“安全分析人员主要看什么系统产生的日志”时,57%的人选择了传统的边界防御设备(FW/IDP)产生的告警; 42%的人选择了终端监测系统的告警(譬如防病毒)。此外,有37%的人选择了“ SIEM的自动化告警”,还有32%的人 选择了通过SIEM/LM去进行事件分析,并手工产生告警。SANS 认为,调查结果表明下一代的SIEM具备自动化分析和智能告警的能力。在问及“实现安全智能需要跟哪些检测技术交互”时,几乎 各种检测技术都有涉及,印证了安全智能的技术交互的广泛性。 在目前,主要交互(对接)的是FW/UTM/IDR漏洞管理、基于主 机的恶意代码分析(终端防病毒)、SIEM LM。在 未来,计划 要交互的主要是基于网络的恶意代码分析(沙箱)、NAC用户行为监控。
