的安全分析與智能調研報告

時間：2024-11-04 03:09:52 學人智庫

的安全分析與智能調研報告

　　2014年10月份，緊接著2014年度日志管理調研報告(Log management survey)，SANS又發布了2014年度的安全分析與智能調研報告(Analytics and Intelligence Survey 2014)。

的安全分析與智能調研報告

　　SANS認為，安全分析與日志管理逐漸分開了，當下主流的SIEM/安管平臺廠商將目光更多地聚焦到了安全分析和安全智能上，以實現所謂的下一代SIEM/安管平臺。而安全分析和安全智能則跟BDA(大數據分析)更加密切相關。

　　SANS對安全智能的定義采納了Gartner的定義。而安全智能(Security Intelligence)這個詞的最早定義就來自于Gartner的Fellow——約瑟夫.費曼(2010年的報告——《準備企業安全智能的興起》)。這，在2013年的日志分析調查報告中明確指出來了：企業安全智能包括對企業的IT系統中所有跟安全相關的數據的收集，以及安全團隊的知識和技能的運用，從而達成風險消減的目的。

　　今年，SANS對安全分析(Security Analytics，或者叫安全數據分析，數據分析)給出了一個自己的定義：

　　The discovery (through various analysis techniques) and communication (such as through visualization) of meaningful patterns or intelligence in data.【對數據中有意義的模式或者情報(通過多種分析技術)進行發現和溝通(例如通過可視化方式)】

　　SANS還追溯了一下安全分析的起源，其實早在1986年就正式出現了。從最早的IDS，到后來的SIEM，再到現在的安全智能，形成了一條安全分析的發展時間線。

　　關于安全智能，SANS做了一個腳注，就是安全智能不是自動化的機器智能，還需要訓練有素安全分析師的參與。

　　報告中，SANS還給威脅情報下了一個定義：Threat intelligence is the set of data collected, assessed and applied regarding security threats, malicious actors, exploits, malware, vulnerabilities and compromise indicators.

　　【注：安全智能跟安全/威脅情報中都有一個相同的英文Intelligence，但是含義還是有所區別的】

　　SANS對350位IT專業人士進行了調查問卷。報告顯示：

　　1)有47%的用戶依然投資在SIEM上，通過增強的SIEM獲得安全分析的能力;

　　2)27%的用戶將內部威脅情報關聯應用于SIEM;

　　3)61%的用戶認為大數據將在安全分析中扮演必不可少角色(36%認為大數據扮演關鍵角色，25%認為大數據是必要的，但不是最關鍵的);

　　4)47%的用戶認為他們的情報和分析實踐初步實現了自動化。

　　SANS進行了多項有針對性的調查。其中，“攻擊檢測與響應的障礙”首當其沖的是缺乏對應用、以及支撐的系統和脆弱性的可見性(39.1%);排在第二的障礙是難以理解和標識正常行為，進而導致無法識別異常行為;排在第三位的是缺乏訓練有素的人;排在第四位的是不知道哪些是關鍵的需要采集的信息，以及如何進行關聯。

　　在問及“安全分析人員主要看什么系統產生的日志”時，57%的人選擇了傳統的邊界防御設備(FW/IDP)產生的告警;42%的人選擇了終端監測系統的告警(譬如防病毒)。此外，有37%的人選擇了“SIEM的自動化告警”，還有32%的人選擇了通過SIEM/LM去進行事件分析，并手工產生告警。 SANS認為，調查結果表明下一代的SIEM具備自動化分析和智能告警的能力。

　　在問及“實現安全智能需要跟哪些檢測技術交互”時，幾乎各種檢測技術都有涉及，印證了安全智能的技術交互的廣泛性。在目前，主要交互(對接)的是 FW/UTM/IDP、漏洞管理、基于主機的惡意代碼分析(終端防病毒)、SIEM、LM。在未來，計劃要交互的主要是基于網絡的惡意代碼分析(沙箱)、 NAC、用戶行為監控。

　　在問及“對當前安全分析能力的滿意度”時，最滿意的是分析的性能與響應時間，最不滿意的是安全分析的可見性，分析師的培訓以及分析師的緊缺排在最不滿意的第三位。

　　在問及“應用安全分析最有價值的作用”是什么時，首選最高的是發現未知威脅，次選最高的是檢測內部威脅，第三選擇最高的是降低錯報。

　　在問及“未來對安全分析/智能的投資”領域時，67%的受訪者選擇了培訓/人員，其次是事故響應能力，第三是SIEM(47%)。此外，選擇基于網絡包的分析、用戶行為監控、情報、大數據分析引擎的人都超過了20%。

【的安全分析與智能調研報告】相關文章：

調研報告范文08-20

樓市調研報告07-31

調研報告的格式06-12

建筑調研報告06-20

調研報告格式08-05