2022年安全分析與安全智能調(diào)研報(bào)告

1、高品質(zhì)文檔2022年安全分析與安全智能調(diào)研報(bào)告 XX年10月份，緊接著XX年度日志管理調(diào)研報(bào)告(log management survey)，sans又發(fā)布了XX年度的平安分析與智能調(diào)研報(bào)告(analytics and intelligence survey XX)。 sans認(rèn)為，平安分析與日志管理漸漸分開了，當(dāng)下主流的siem/安管平臺(tái)廠商將目光更多地聚焦到了平安分析和平安智能上，以實(shí)現(xiàn)所謂的下一代siem/安管平臺(tái)。而平安分析和平安智能則跟bda(大數(shù)據(jù)分析)更加親密相關(guān)。 sans對(duì)平安智能的定義接受了gartner的定義。而平安智能(security intelligence)這個(gè)詞

2、的最早定義就來自于gartner的fellow約瑟夫.費(fèi)曼(XX年的報(bào)告預(yù)備企業(yè)平安智能的興起)。這，在XX年的日志分析調(diào)查報(bào)告中明確指出來了：企業(yè)平安智能包括對(duì)企業(yè)的it系統(tǒng)中全部跟平安相關(guān)的數(shù)據(jù)的收集，以及平安團(tuán)隊(duì)的學(xué)問和技能的運(yùn)用，從而達(dá)成風(fēng)險(xiǎn)消減的目的。 今年，sans對(duì)平安分析(security analytics，或者叫平安數(shù)據(jù)分析，數(shù)據(jù)分析)給出了一個(gè)自己的定義： the discovery (through various analysis techniques) and communication (such as through visualization) of mean

3、ingful patterns or intelligence in data.【對(duì)數(shù)據(jù)中有意義的模式或者情報(bào)(通過多種分析技術(shù))進(jìn)行發(fā)覺和溝通(例如通過可視化方式)】 sans還追溯了一下平安分析的起源，其實(shí)早在1986年就正式消失了。從最早的ids，到后來的siem，再到現(xiàn)在的平安智能，形成了一條平安分析的進(jìn)展時(shí)間線。 關(guān)于平安智能，sans做了一個(gè)腳注，就是平安智能不是自動(dòng)化的機(jī)器智能，還需要訓(xùn)練有素平安分析師的參加。 報(bào)告中，sans還給威逼情報(bào)下了一個(gè)定義：threat intelligence is the set of data collected, assessed and a

4、pplied regarding security threats, malicious actors, exploits, malware, vulnerabilities and compromise indicators. 【注：平安智能跟平安/威逼情報(bào)中都有一個(gè)相同的英文intelligence，但是含義還是有所區(qū)分的】 sans對(duì)350位it專業(yè)人士進(jìn)行了調(diào)查問卷。報(bào)告顯示： 1)有47%的用戶依舊投資在siem上，通過增加的siem獲得平安分析的力量; 2)27%的用戶將內(nèi)部威逼情報(bào)關(guān)聯(lián)應(yīng)用于siem; 3)61%的用戶認(rèn)為大數(shù)據(jù)將在平安分析中扮演必不行少角色(36%認(rèn)為大數(shù)據(jù)扮演

5、關(guān)鍵角色，25%認(rèn)為大數(shù)據(jù)是必要的，但不是最關(guān)鍵的); 4)47%的用戶認(rèn)為他們的情報(bào)和分析實(shí)踐初步實(shí)現(xiàn)了自動(dòng)化。 sans進(jìn)行了多項(xiàng)有針對(duì)性的調(diào)查。其中，“攻擊檢測(cè)與響應(yīng)的障礙”首當(dāng)其沖的是缺乏對(duì)應(yīng)用、以及支撐的系統(tǒng)和脆弱性的可見性(39.1%);排在第二的障礙是難以理解和標(biāo)識(shí)正常行為，進(jìn)而導(dǎo)致無法識(shí)別特別行為;排在第三位的是缺乏訓(xùn)練有素的人;排在第四位的是不知道哪些是關(guān)鍵的需要采集的信息，以及如何進(jìn)行關(guān)聯(lián)。 在問及“平安分析人員主要看什么系統(tǒng)產(chǎn)生的日志”時(shí)，57%的人選擇了傳統(tǒng)的邊界防備設(shè)備(fw/idp)產(chǎn)生的告警;42%的人選擇了終端監(jiān)測(cè)系統(tǒng)的告警(譬如防病毒)。此外，有37%的人選擇

6、了“siem的自動(dòng)化告警”，還有32%的人選擇了通過siem/lm去進(jìn)行大事分析，并手工產(chǎn)生告警。sans認(rèn)為，調(diào)查結(jié)果表明下一代的siem具備自動(dòng)化分析和智能告警的力量。 在問及“實(shí)現(xiàn)平安智能需要跟哪些檢測(cè)技術(shù)交互”時(shí)，幾乎各種檢測(cè)技術(shù)都有涉及，印證了平安智能的技術(shù)交互的廣泛性。在目前，主要交互(對(duì)接)的是fw/utm/idp、漏洞管理、基于主機(jī)的惡意代碼分析(終端防病毒)、siem、lm。在將來，方案要交互的主要是基于網(wǎng)絡(luò)的惡意代碼分析(沙箱)、nac、用戶行為監(jiān)控。 在問及“對(duì)當(dāng)前平安分析力量的滿足度”時(shí)，最滿足的是分析的性能與響應(yīng)時(shí)間，最不滿足的是平安分析的可見性，分析師的培訓(xùn)以及分析師的緊缺排在最不滿足的第三位。 在問及“應(yīng)用平安分析最有價(jià)值的作用”是什么時(shí)，首選最高的是發(fā)覺未知威逼，次選最高的是檢測(cè)內(nèi)部威逼，第三選擇最高的是降低錯(cuò)報(bào)。 在問及“將來對(duì)平安分析