SANS：2016年安全分析調研報告

時間 2021-01-04

原文原文鏈接

2016年12月6日，SANS發佈了第4期（2016年度）安全分析調研報告。報告對全球348名受訪者進行了調研。結果顯示，38%的人用安全分析來評估風險，35%的人用安全分析來識別惡意行爲，31%的人用來實現合規。這也是安全分析最經常使用的三個場景。安全分析自動化不足的問題依然沒有多大改觀，和上次調研相比，依然僅有4%的人認爲本身徹底最到了安全分析自動化，僅有22%的人使用了機器學習相關的工具來參與安全分析。數據庫

一、數據收集的範圍安全

首先是應用日誌（包括應用的審計日誌），第二是網絡FW/IDS/IPS/UTM設備日誌，第三是漏掃/配置覈查/補丁管理結果，第四是端點保護系統的日誌，再日後還有主機反惡意代碼系統（AV）日誌，Whois，DNS日誌，情報數據，包檢測數據，用戶行爲監測數據，身份數據，數據庫日誌，沙箱日誌，雲安全日誌，大數據系統日誌，等等。網絡

二、威脅情報的收集與集成運維

首選的用SIEM來收集情報，並將情報與各類數據進行關聯。其次是用本身開發的系統來作。機器學習

三、安全分析過程的自動化ide

認爲徹底自動化了的只有3.6%，差很少自動化了的有53.7%，根本沒有自動化的有22.1%，還有10.5%的人不知道是否作到了自動化（也基本能夠視做沒有自動化）。工具

四、是否發生過數據泄漏性能

65%的人都表示過去兩年內本身單位發生過須要處置的數據泄漏事件。表示沒有發生過的佔17%。學習

五、響應速度大數據

總體上好於去年。62%的人表示最快能夠在被攻陷後1天以內就檢測出來，而僅有5%的人最長鬚要超過10個月才能發現本身已經被攻陷。

六、報警機制

針對信息泄漏和破壞事件的觸發來源，終端監測軟件的報警是最多的方式，其次是依靠SIEM的自動化告警，以及其餘分析系統的自動化告警，再日後是依靠邊界防護設備的告警，第三方供應商的告警，客戶發起的報告。

七、安全分析的短板

最主要的三個短板依次是：缺少分析技能（也就是缺人，而且是高水平的人）、缺少預算和資源、難以進行行爲建模和檢測不出異常、缺少對網絡流量和日誌的可視性。簡言之，分析工具再NB，沒有分析人員也白給！

八、安全分析工做的頻度

在防禦、檢測和響應階段，安全分析都佔據了很長的時間比，說明安全分析佔據了安全運維工做的重要角色。

九、安全分析最有價值的場景

依次是評估風險、識別可疑或者惡意的用戶行爲、合規監測與管理、檢測外部惡意威脅、提高對網絡和端點行爲的可視性、檢測內部威脅，等等。

十、可量化的改進

有44%的受訪者表示他們經過安全分析工具可以得到可量化的改進和提高。

十一、對自身安全分析能力的滿意度

16.1%人對於提高檢測速度表示十分滿意，54.1%的人對於性能、響應時間、查詢速度表示滿意，40.9%的人對預測和阻止未知威脅表示不滿意，45.5%的人對於「知彼」能力很不滿意。

十二、大數據安全分析和安全分析的區別

還有48.2%的人認爲兩者沒有本質區別，但有34%的人認爲兩者有區別，主要體如今分析流程和工具的差別化上。SANS認爲將這二者區分開來標誌着對安全分析的深刻理解。

1三、將來在安全分析領域的投資方向

跟去年的調研相似，第一位的是人員和培訓，有49%的人投給了人和培訓。接下來，42%的人投給了檢測和SOC升級；29%的投給了事件響應（IR）集成；再日後是SIEM工具和系統，以及大數據分析引擎和工具。有趣的是安全情報產品工具和服務從去年的43%下降到了今年的18%，SANS估計是由於組織當前更加註重內部數據的收集，多過依賴第三方產品和服務。

小結：更多的組織和單位開始使用安全分析，咱們收集的數據愈來愈多，也愈來愈好，但最大的問題還不能很好地利用這些數據來進行檢測與響應。儘管咱們能夠更快地發現未知威脅，可是咱們依然沒能很好地劃定威脅優先級、集中的修復和彙報，以及創建正常的行爲模型從而標記出異常。致使如此的緣由之一就在於長期缺少SOC運維的技能，以及管理上和資金上的支撐。

Utilization of security analytics is slowly improving, and we’ve done a much better job of collecting data, but more effort is needed to detect, respond and report results using analytics before we can say we’re really maturing in this space.

【參考】

SANS：2016年網絡威脅情報現狀調研報告

SANS：2015年安全分析與安全智能調研報告

SANS：2014年安全分析與安全智能調研報告