安全分析与安全智能调研报告.docx

安全分析与安全智能调研报

告

20XX年10月份，紧接着20XX年度日志治理调研报告〔Logmanagementsurvey〕，SANS又公布了20XX年度的安全分析与智能调研报告〔AnalyticsandIntelligenceSurvey20XX〕。

SANS认为，安全分析与日志治理渐渐分开了，当下主流的SIEM/安管平台厂商将目光更多地聚焦到了安全分析和安全智能上，以实现所谓的下一代SIEM/安管平台。而安全分析和安全智能则跟BDA〔大数据分析〕更加亲热相关。

SANS对安全智能的定义承受了Gartner的定义。而安全智能

〔SecurityIntelligence〕这个词的最早定义就来自于Gartner的Fellow——约瑟夫。费曼〔2023年的报告——《预备企业安全智能的兴起》〕。这，在2023年的日志分析调查报告中明确指出来了：企业安全智能包括对企业的IT系统中全部跟安全相关的数据的收集，以及安全团队的学问和技能的运用，从而达成风险消减的目的。

今年，SANS对安全分析〔SecurityAnalytics，或者叫安全数据分析，数据分析〕给出了一个自己的定义：

近年来，劳动密集型企业的生产车间、仓库等火灾频繁发生，使国家和人民群众生命财产患病重大损失，形势格外严峻。如何

抓好劳动密集型企业的消防安全工作，是摆在我们面前的一个重要课题。

Thediscovery〔throughvariousanalysistechniques〕andcommunication〔suchasthroughvisualization〕ofmeaningfulpatternsorintelligenceindata。【对数据中有意义的模式或者情报〔通过多种分析技术〕进展觉察和沟通〔例如通过可视化方式〕】

SANS还追溯了一下安全分析的起源，其实早在1986年就正式消灭了。从最早的IDS，到后来的SIEM，再到现在的安全智能，形成了一条安全分析的进展时间线。

关于安全智能，SANS做了一个脚注，就是安全智能不是自动化的机器智能，还需要训练有素安全分析师的参与。

从业人员素养低，技术力气薄弱，效率低下，不具备市场竞争力量，产品质量保证力量严峻缺乏，给食品安全带来严峻的安全隐患。

报告中，SANS还给威逼情报下了一个定义：Threatintelligenceisthesetofdatacollected，assessedandappliedregardingsecuritythreats，maliciousactors，exploits，malware，vulnerabilitiesandcompromiseindicators。

【注：安全智能跟安全/威逼情报中都有一个一样的英文

Intelligence，但是含义还是有所区分的】

SANS对350位IT专业人士进展了调查问卷。报告显示：

1〕有47%的用户照旧投资在SIEM上，通过增加的SIEM获得安全分析的力量；

2〕27%的用户将内部威逼情报关联应用于SIEM；

3〕61%的用户认为大数据将在安全分析中扮演必不行少角色

〔36%认为大数据扮演关键角色，25%认为大数据是必要的，但不是最关键的〕；

4〕47%的用户认为他们的情报和分析实践初步实现了自动化。各单位依据教育局的统一要求，对校舍安全、饮食安全、交

通安全、防汛安全等进展了拉网式的大检查，觉察问题，准时整改，保证了师生的安全。

将消防宣传融入文化、科技、卫生“三下乡”活动中，开展贴近实际、贴近生活、富有实效的消防法律法规和消防学问宣传教育。

SANS进展了多项有针对性的调查。其中，“攻击检测与响应的障碍”首当其冲的是缺乏对应用、以及支撑的系统和脆弱性的可见性〔39。1%〕；排在其次的障碍是难以理解和标识正常行为，进而导致无法识别特别行为；排在第三位的是缺乏训练有素的人；排在第四位的是不知道哪些是关键的需要采集的信息，以及如何进展关联。

在问及“安全分析人员主要看什么系统产生的日志”时，57%的人选择了传统的边界防范设备〔FW/IDP〕产生的告警；42%的人

选择了终端监测系统的告警〔譬如防病毒〕。此外，有37%的人选择了“SIEM的自动化告警”，还有32%的人选择了通过SIEM/LM去进展大事分析，并手工产生告警。SANS认为，调查结果说明下一代的SIEM具备自动化分析和智能告警的力量。

在问及“实现安全智能需要跟哪些检测技术交互”时，几乎各种检测技术都有涉及，印证了安全智能的技术交互的广泛性。在目前，主要交互〔对接〕的