2015年11月,SANS发布了第三次安全分析与安全智能调研报告2015年版(Analytics and Intelligence Survey 2015)。报告对来自全球的企业和组织共计476位专业人士进行的调研访谈。今年的调研问题比去年更加深入。
调研表明,与去年相比,大家对安全分析与安全智能的认知更高了,应用也更多了,但距离理想目标依然还有不小的差距,尤其是合格的从业人员(分析师)的短缺问题更加突出了。对于大数据技术应用于安全分析这个问题,得到了更多人士的认同。相较于安全数据的大数据化这个问题,人们更关注安全分析能够分析出什么。此外,在分析手段这方面,对于异常行为分析技术应用的满意度稍微上升了(尽管还是比较低)。
报告显示,安全团队正在将基于网络的和基于主机的安全情报集成到集中的分析平台中,有43%的受访者表示集成了外部威胁情报供应商的情报数据,还有31%的人计划集成外部威胁情报。这表明,集成外部威胁情报已经成为共识。有44%的受访者表示他们在内部收集威胁情报,并使用这些情报。
安全分析与智能处理过程的自动化是安全分析能力成熟度的重要指标,调查结果显示,自动化水平还是比较低,说明这类技术还在发展中。
调查显示,安全分析与智能工具最有价值的五个作用是:
根据获得的威胁指示器评估风险;
检测外部的基于恶意代码的威胁;
获得对网络和终端行为的可视性;
建立系统行为基线,实施基于异常的监测;
合规监测与管理
再被问及“发现和跟踪攻击的过程中最大的障碍是什么的”时候,排在前三位的因素是:
缺乏人和技能/资源
缺乏集中报告和修复的控制措施
无法理解并标识出正常行为
在人才匮乏这点上,报告表示,Finding these skill sets in today’s marketplace is difficult due to incredibly high demand for top talent that understands SIEM and correlation, forensics, event management and now, with analytics in the mix, pattern analysis across large diverse datasets
在被问及“未来对安全分析相关的投资”领域的时候,排名依次是:
人员和培训——64%的人选择这个
SIEM工具和系统——去年的时候SIEM排第三,今年升至第二,占45%
集成IR(应急响应)
威胁情报(TI)相关的产品、平台和服务——占43%的受访者
检测/SOC升级
大数据分析引擎和工具——从去年的21%上升至34%
工作流管理系统
MSSP
值得一提的是,在2013年调研的时候,首选的投资对象是SIEM,其次是人和培训;到了2014年,首选的投资对象变成了人和培训,其次是应急响应能力,第三才是SIEM;而今年,人和培训还是第一,SIEM变成了第二,应急响应位居第三,威胁情报跃居第四。可以说,SIEM基本上一直是安全分析与智能的首选承载技术。
而所有排名靠前的这些技术能力,基本上都属于Gartner定义的智能SOC的范畴(SIEM、IR、工作流)。
BTW,看看这份调研问卷的问题和回答的选项设计还是蛮有意思的。
【参考】
原文地址:http://yepeng.blog.51cto.com/3101105/1719029
