2023年10月份,緊接著2023年度日誌管理調研報告(log management survey),sans又發布了2023年度的安全分析與智慧型調研報告(analytics and intelligence survey 2014)。
正如我之前部落格所述,sans認為安全分析與日誌管理逐漸分開了,當下主流的siem/安管平台廠商將目光更多地聚焦到了安全分析和安全智慧型上,以實現所謂的下一代siem/安管平台。而安全分析和安全智慧型則跟bda(大資料分析)更加密切相關。
sans對安全智慧型的定義採納了gartner的定義。而安全智慧型(security intelligence)這個詞的最早定義就來自於gartner的fellow——約瑟夫.費曼(2023年的報告——《準備企業安全智慧型的興起》)。這,在2023年的日誌分析調查報告中明確指出來了。
今年,sans對安全分析(security analytics,或者叫安全資料分析,資料分析)給出了乙個自己的定義:
the discovery (through various analysis techniques) and communication (such as through visualization) of meaningful patterns or intelligence in data.
sans還追溯了一下安全分析的起源,其實早在2023年就正式出現了。從最早的ids,到後來的siem,再到現在的安全智慧型,形成了一條安全分析的發展時間線。
關於安全智慧型,sans做了乙個腳注,就是安全智慧型不是自動化的機器智慧型,還需要訓練有素安全分析師的參與。【好吧,正如我之前反覆強調的那樣】
sans對350位it專業人士進行了調查問卷。報告顯示【我摘錄我關注的內容,而不是全部內容,請見諒】:
1)有47%的使用者依然投資在siem上,通過增強的siem獲得安全分析的能力;
2)27%的使用者將內部威脅情報關聯應用於siem;
3)61%的使用者認為大資料將在安全分析中扮演必不可少角色(36%認為大資料扮演關鍵角色,25%認為大資料是必要的,但不是最關鍵的);
4)47%的使用者認為他們的情報和分析實踐初步實現了自動化;
sans進行了多項有針對性的調查。其中,「***檢測與響應的障礙」首當其衝的是缺乏對應用、以及支撐的系統和脆弱性的可見性(39.1%);排在第二的障礙是難以理解和標識正常行為,進而導致無法識別異常行為;排在第三位的是缺乏訓練有素的人;排在第四位的是不知道哪些是關鍵的需要採集的資訊,以及如何進行關聯。【想想,國內也差不多啊,而且應該更嚴重】
在問及「安全分析人員主要看什麼系統產生的日誌」時,57%的人選擇了傳統的邊界防禦裝置(fw/idp)產生的告警;42%的人選擇了終端監測系統的告警(譬如防病毒)。此外,有37%的人選擇了「siem的自動化告警」,還有32%的人選擇了通過siem/lm去進行事件分析,並手工產生告警。sans認為,調查結果表明下一代的siem具備自動化分析和智慧型告警的能力。
在問及「實現安全智慧型需要跟哪些檢測技術互動」時,幾乎各種檢測技術都有涉及,印證了安全智慧型的技術互動的廣泛性。在目前,主要互動(對接)的是fw/utm/idp、漏洞管理、基於主機的惡意**分析(終端防病毒)、siem、lm。在未來,計畫要互動的主要是基於網路的惡意**分析(沙箱)、nac、使用者行為監控、
在問及「對當前安全分析能力的滿意度」時,最滿意的是分析的效能與響應時間,最不滿意的是安全分析的可見性,分析師的培訓以及分析師的緊缺排在最不滿意的第三位。
在問及「應用安全分析最有價值的作用」是什麼時,首選最高的是發現未知威脅,次選最高的是檢測內部威脅,第三選擇最高的是降低錯報。
在問及「未來對安全分析/智慧型的投資」領域時,67%的受訪者選擇了培訓/人員,其次是事故響應能力,第三是siem(47%)。此外,選擇基於網路包的分析、使用者行為監控、情報、大資料分析引擎的人都超過了20%
【參考】
sans:2023年日誌管理調查報告
sans:2023年度安全分析調查報告
SANS 2023年度安全分析(日誌管理)調查報告
2013年9月份,sans發布了2013年度的日誌管理調查報告。今年的報告改名為安全分析調查 security analytics surevey 這次的調查之所以改名,是因為此次sans將調查的內容聚焦到了大資料庫分析上。這也進一步說明了siem lm與bda之間的密切關係。的確,正如sans所述...
SANS 2023年度安全分析(日誌管理)調查報告
2013年9月份,sans發布了2013年度的日誌管理調查報告。今年的報告改名為安全分析調查 security analytics surevey 這次的調查之所以改名,是因為此次sans將調查的內容聚焦到了大資料庫分析上。這也進一步說明了siem lm與bda之間的密切關係。的確,正如sans所述...
日誌分析與安全
日誌為什麼重要?1.用於記錄系統 程式執行中發生的各種事件 2.通過閱讀日誌,有助於診斷和解決系統故障 3.是審計的基礎 日誌檔案的分類 1.核心及系統日誌 有系統服務rsyslogd統一進行管理,日誌格式基本相似 3.程式日誌 由各種應用程式獨立管理的日誌檔案,記錄格式不統一 在linux系統中,...