威脅情報

  • IBM QRadar SIEM名列2017Gartner安全資訊與事件管理領導者

    IBM QRadar SIEM名列2017Gartner安全資訊與事件管理領導者

    2017-12-14 22:26經濟日報 蔡尚勳

    在全球著名研究機構Gartner 近日最新公布的「安全資訊與事件管理力魔力象限」(Magic Quadrant for Security Information and Event Management) 報告中,IBM 再度名列「領導者(Leader)」,這已是IBM QRadar 連續第九年在Gartner 的SIEM 魔力象限獲選為領導者。

    Gartner 定義SIEM 市場需求為:即時分析事件資料,以便早期偵測蓄意攻擊與資料洩露,並且收集、儲存、分析、調查、回報事件資料,提供事件回應、鑑識、合規所用。

    IBM QRadar 提供多項進階功能,包括使用者行為分析(User Behavior Analytics, UBA) 、網路活動與異常檢測分析(Network Insights)、機器學習(Machine Learning)分析應用、認知安全(Watson CyberSecurity)應用等。並且透過QRadar App Exchange,大幅拓展了與第三方合作夥伴工具的整合能力。QRadar 結合IBM X-Force 威脅情資,並納入IBM Resilient 安全事件回應平台,將偵測與事後回應工作密切結合,提供完整的處理機制。

    Gartner 評鑑IBM 的SIEM 旗艦產品QRadar 的優勢在於:

    1.支援中大型企業所需的SIEM核心能力,並提供一套能涵蓋多種安全監控與維運技術的整合平台。

    2.提供能支援多重環境(on-premises與IaaS雲端) 監控的靈活架構。

    3.QRadar App Exchange 可將多方內容與資源整合進入QRadar Console 中控台,提升使用體驗。

    4.免費的使用者行為分析(UBA)與機器學習(Machine Learning) 應用,有助於企業進行進階的分析與針對使用者行為的監控。

    5.整合並關聯多重的網路事件來源,提供單一視圖。

    Gartner2017

    Gartner 的各項Use Case 評比當中,QRadar 在二項指標當中都是第一名:

    1. Advanced Threat Detection Use Case   (進階威脅偵測)

    2. Forensics and Incident Response Use Case  (鑑識與事件回應)

    IBM QRadar為「安全免疫系統」的指揮中樞

    辨識威脅行為當下提出告警,已是SIEM基本功能。目前企業更關注於聯合防禦機制,也就是在判斷威脅行為當下須觸發具備控制能力的防火牆、IPS等資安設備,立即執行阻斷,藉此降低資安事件造成的損害。

    IBM資訊安全事業部協理金天威表示,為了協助企業建立資安關鍵的預防、偵測、回應能力,IBM提出「安全免疫系統」架構,統一整合端點、行動應用、資料與應用程式、雲端、身分驗證與存取、進階詐騙、網路、外部威脅情資等各個環節的資訊,以IBM QRadar作為核心中樞,建置資安智慧平台執行大數據分析,提供網路、使用者、資料(庫)及應用程式等活動的深度可視性,協助快速偵測威脅,並依據風險等級排列事件處理的優先順序,協助關鍵問題答案、更有效管理資安威脅。

    SIEM未來發展在3C

    全球資安攻擊事件層出不窮,新型態的網路攻擊日新月異,加上全球資安人才短缺日益嚴重,對企業資安整體策略帶來重大挑戰。從SIEM 解決方案持續演進的趨勢來看,以下三點是關鍵方向,亦為IBM整體安全架構及IBM QRadar 發展的重點:

    1.Cloud 雲端安全— 利用雲端資源提供簡單、隨時可得的安全防護。

    2.Collaboration協同合作— 分享與善用威脅情資、分析與最佳實踐,減輕人才缺乏的壓力。

    3.Cognitive認知運算/人工智慧— 面對資安資料爆炸性成長與資安知識落差,運用智慧達成自動化,做出更好、更快的決策。

  • 當金融遇上Watson電腦 瑞士證交所與IBM攜手打造安全營運中心

    DIGITIMES 物聯網 2017-04-06 陳智德

    瑞士證券交易所利用IBM Watson,打造網路安全中心,以助瑞士金融業符合當地的金融監理規範。

    做為世界上技術最先進的交易所之一,瑞士證券交易所(SIX Swiss Exchange)將使用IBM的Watson認知運算電腦,打造新的網路安全中心,以助瑞士金融業符合當地的金融監理規範。

    新的網路安全中心稱為安全營運中心(Security Operations Center;SOC),將設於瑞士證券交易所內部,以提供專為該區域需求量身訂製的網路安全服務。

    位於瑞士蘇黎世的瑞士證券交易所是瑞士交易股票、債券及期權等高風險衍生性金融商品最主要的交易所,其於1995年就成為全球首個使用全自動交易、結算與交收系統的衍生性金融商品交易所。

    做為世界上技術最先進的交易所之一,瑞士證券交易所SOC將以IBM Watson的QRadar Advisor平台為骨幹,QRadar Advisor是首個利用IBM網路安全檔案庫提供網路安全分析的平台,所使用的檔案庫蒐羅了上百萬個資安文件。

    QRadar Advisor能夠解析成千上萬透過自然語言撰寫的研究報告,該服務初步將先提供瑞士證券交易所與IBM的銀行業客戶,根據不同的需求,像是網路安全、監理、法律遵循及審計等提供相應的服務,以確保銀行業恪守現行金融監理法規,及未來瑞式的資料隱私及保護規範。

    目前瑞士證券交易所及IBM正在建立該平台的路線圖,以確定該平台的基本架構與所需的治理目標。

  • 認知安全:安全分析師的超級助手

    來源:安全牛 2016-08-25

    你還記得深藍麼?

    1997年5月,由IBM研發的並行計算機「深藍」(Deep Blue),在西洋棋領域第一次成功擊敗了當時世界排名第一的人類棋手卡斯帕羅夫。這場時長不到一小時的「腦力」競賽,讓人們預言,計算機某日會因其強大的計算和處理能力而具有超越甚至代替人類的可能。

    Watson for Cyber Security 1

    加里·卡斯帕羅夫和深藍的對決

    然而,當時的深藍雖然在1997年就具有每秒2億步的運算能力,但尚不具有對人類語言的學習和理解能力,他無法形成對文本的理解,更不可能回答人們用自然語言向他提出的某一個問題。但後來這一使命由IBM 的Watson完成了,今天,Watson被應用到保護企業信息安全的領域。有了認知的安全和以前又有怎樣的不同?

    認知安全是什麼

    起初只是作為生物學概念的「認知」,在IT領域則更多的是指通過技術手段,對人類大腦學習、理解、判斷事物過程的模擬,進而根據不斷積累的知識進行推演和預測。當然,我們不能簡單地將「認知」理解為自然語言處理,而還要考慮其它的技術環節,比如機器學習、圖形分析等。

    除此以外,在安全領域的應用上,通過人工智慧的技術實現更友好的人機互動體驗,以及安全專家用「安全語言」對Watson進行重複不斷的訓練和測試,這些都讓Watson有能力理解「什麼是安全」,並藉助其技術優勢協助企業安全分析師高效地完成日常的威脅檢測和應急響應工作。也就是說,Watson使用「認知」的方法對安全知識進行理解和分析。

    在IBM的安全產品線中,從 IBM Watson 中提煉出的安全能力,即 Watson for Cyber Security ,是IBM所理解的認知安全的最好體現。

    全球企業網絡中每天約有20萬次安全事件發生,共計10萬+的安全漏洞被各個威脅源通報;除此以外,還有大量的系統或應用日誌、用戶和網絡活動以及安全策略的變更等數據產生。這些傳統意義的安全資料是可以被現有的安全系統,例如SIEM,所利用和分析。但是,這些夠了麼?

    現實網絡世界,黑客的攻擊目標和方法無時無刻不在變化。企業需要持續進行監視並最大程度的使用數據分析來查找攻擊和異常行為,以儘量避免安全事件的發生以及其對企業的業務和聲譽造成不可挽回的損失。除了傳統的安全資料外,還有許多專供人類理解分析的智慧,而企業能利用到的僅有這些智慧的8%。

    三大核心技術成就認知安全

    Watson for Cyber Security的三個強大之處,其中一點是在於自然語言處理能力,一點是對文本文檔、圖像、語音等非結構化數據的分析和理解能力。這是因為IBM本身就是一家在語音識別和自然語言處理領域全球領先的企業。最有代表性的實例就是Watson在美國著名智力問答節目Jeopardy!中戰勝兩位冠軍選手。

    Watson for Cyber Security 3

    Jeopardy!的 IBM Watson 挑戰現場

    除了這兩點外,與 IBM X-Force 智庫的聯動,以及其對安全行業的理解能力,也是成就認知安全的三個重要原因之一。

    我們特意採訪了IBM安全事業部威脅防護與認知安全首席技術官 Barny Sanchez 先生,以期深入了解認知安全背後的技術奧秘。

    Barny Sanchez先生向記者介紹,為了訓練 IBM Watson 在信息安全領域的能力,IBM內部已經有上百位相關專家正在培養 IBM Watson 對安全方面的理解能力。

    同時,IBM資深安全研究專家也正在與加州州立理工大學、賓夕法尼亞州立大學、麻省理工大學、紐約大學、馬里蘭大學、新不倫瑞克大學、渥太華大學和滑鐵盧大學等全球知名大學學生/學者展開合作,對Watson進行訓練,幫助增加其系統中安全知識庫的數據,並通過「安全語言」對系統輸出結果進行修正,使Watson持續不斷地進行安全知識的學習和積累。

    我們在訓練 IBM Watson 學習的時候採用了三步走的戰略。第一是讓Watson收集相關信息;第二是讓Watson解讀相關信息;最後是通過不停地提問來挑戰Watson,讓Watson能進一步梳理有用信息,並最終進行吸收學習。

    認知安全對於企業安全分析師的價值

    IBM安全以2015年作為一個分界點,認為2015年以前是靜態防禦和安全情報的時代,而之後會慢慢進入「認知安全「的時代。

    在安全情報的時代,企業所使用的SIEM平台通常集成IDS、IPS、防火牆等安全設備的數據並結合一些基本的漏洞情報做關聯性分析。Barny Sanchez 認為,未來10年,安全分析的方法將會改變,高級分析和外部威脅情報的收集將會被引入,企業安全分析師會將分析的注意力集中到用戶行為的觀察、不同系統間互聯方式的了解、用戶權限和角色的控制以及系統敏感資源的保護上。

    認知安全,Watson for Cyber Security,其最大的價值在於減少安全分析師進行威脅研究和應急響應工作所需的時間成本,也即意味著安全分析團隊在同樣的時間內可以進行更多的調研工作,以最大程度地減少企業誤判和遺漏風險情況的發生。

    安全分析師的日常工作,包括對安全社區和線上資源(如新聞、博客等)的檢測,以獲取一手的安全威脅情報,幫助企業發現潛在威脅,並通過人工進行資料的關聯分析。這些可供企業利用的數據來源包括博客、相關新聞文章、研究論文、企業訂閱的威脅情報源、推特、維基百科。除了這些文本文檔外,還有專家在行業論壇分享時所使用的ppt、播客以及大量的內嵌的圖形文件。

    據統計,全球每年有72萬篇安全博客、18萬篇新聞報導以及1萬篇研究論文。這些對於分析師或者分析團隊來講,都是海量的非傳統安全資料,不藉助工具的力量根本無法完全利用。

    另外,Barny Sanchez 還提到專業安全分析師的匱乏也將是行業面臨的難題,「安全行業面臨的問題除了缺乏相關技術以外,還缺乏專業人才。現在市場對於信息安全領域的專業人才需求是20萬人,到2020年,這個數字將達到150萬。」

    毫無疑問,在企業安全人才缺口和安全技術水平差異的情況下,海量安全知識難以被企業利用,這大大增加了企業內部安全分析師的工作難度,使分析師很難對目前企業所面臨的整體安全態勢有個清晰明確的認識。同時,安全分析師也很難對企業的CSO或者CISO,提供行之有效的決策建議。

    「安全分析師需要更人性化的體驗,需要經驗豐富且值得信賴的諮詢顧問。而這一點正是 QRadar Advisor 和 Watson for Cyber Security 所擅長的」, Barny Sanchez說道。

    QRadar與Watson的聯動

    QRadar作為IBM整個安全免疫體系中真正的核心和大腦,統領著資料庫安全、SIEM、移動安全、應用安全、終端安全、訪問控制和威脅情報等領域的安全設備;數據回傳的同時,也可以反過來給各聯動設備下達策略變更指令,以期動態的應對未知安全威脅。QRadar Advisor 和 Watson for Cyber Security 的聯動,是實現認知安全「理解、推理和學習」這三項能力的關鍵。

    當QRadar發現某個文檔存在可疑行為,QRadar Advisor 會通過網絡活動開始進行包括某個主機的可疑通信情況、之前沒有交集的域、對網站的訪問,ip地址變化以及異常行為等數據的挖掘,並模仿分析師運用其直覺所開展的日常工作;安全分析師將QRadar Advisor 分析的本地網絡狀態的信息匯總到本地資料庫並提交到提供SaaS服務的 Watson for Cyber Security,並在很短的時間內接收到由Watson根據其儲備信息進行關聯分析後得到的所有可能結果,並提示「存在某可疑文件的執行操作,但不確定具體原因,需要進一步調查」。

    同時,QRadar Advisor 也會構建一個全面反映運行狀態的視圖。如果安全分析師認為企業已經面臨一個高危的狀況時,可以一鍵將 Watson for Cyber Security 的反饋和 QRadar Advisor 的本地分析結果提交到Resilient系統並獲得具有針對性的應急響應流程。

    Watson for Cyber Security 4

    它們對於安全分析師的最大幫助在於快速的調查,即從大量不同的信息源搜索並提取相關信息,以及兩個系統間極快的交互,甚至在分析師意識到問題之前,系統已經開展了大量的工作,並幫助重新劃分問題嚴重性的優先級並建立相關流程。

    雖然IBM安全的 Watson for Cyber Security 產品還未正式發布(預計2016年第四季度),但據 Barny Sanchez 透露,目前IBM安全的計劃是利用 X-Force Exchange 作為切入點來集成QRadar和Watson這兩項解決方案。

    認知安全的未來

    在2016年8月舉行的中國網際網路安全大會(ISC 2016)上, Barny Sanchez 還發表了以「認知安全」為主題的演講,並介紹了Watson在正式涉足安全領域後,認知安全未來的三個發展方向:「第一個方向是,我們要讓Watson具有預測分析的能力,讓Watson能夠提前預測惡意軟體和入侵威脅;第二個方向是讓Watson學習企業在安全領域的法規框架,幫助其企業判斷企業的風險框架是否合規;第三個方向是培養Watson了解不同的行業和客戶,真正成為各個行業的安全專家,助力準確決策。」

    Watson for Cyber Security 5

    IBM安全事業部威脅防護與認知安全首席技術官Barny Sanchez

    安全能力的本質是人,作為企業安全分析師的「高級」輔助工具的Watson亦是如此。在安全這樣一個特殊的行業,對於已經踏入半步的我們,認知安全帶來的不僅是人力的解放和替代,更是安全分析時間和技術成本的降低,以及企業安全能力的提升。它對於早已無地緣限制的全球網際網路來講,無疑將會是一個對抗黑客攻擊並儘可能減少企業損失的利器。

  • 料敵機先 事件處理早一步做

    來源:資安人 作者:陳啟川 -2016 / 12 / 22

    企業即使部署資安事件管理平台(SIEM),要在數以萬計的資料中馬上辨別出真正的攻擊並做出回應就像大海撈針,因此威脅情資平台的需求逐漸興起。如果ATM攻擊事件的苦主也有採用TIP/TIS,或許可以儘早亡羊補牢。

    在談Threat Intelligence前,請先回想一下APT攻擊流程示意圖(圖1);從一開始鎖定目標進行觀察研究,再依結果製作出攻擊工具,然後傳送到攻擊目標,針對目標的弱點發動攻擊,在控制目標後開始執行惡意工具,並從遠端下載更新惡意軟體或傳送機密資訊,到此完成一個精密的APT攻擊。

    image001

                                                                           圖1:APT攻擊流程示意圖

    Threat intelligence的功能
    企業在面對這類深度有效的針對性攻擊都顯得力有未逮, 即使部署了SIEM平台(Security Information Event Management),要在數以萬計的資料中馬上辨別出哪些是真正的攻擊威脅做出回應就像大海撈針一樣。從攻擊者的角度看,耗費大量心力才完成的精密攻擊只用一次豈不可惜,所以自然會再尋找相同產業或有類似環境的企業再次發動攻擊,因此開始有威脅情資平台(Threat Intelligence Platform, TIP)概念的出現。

    TIP主要功能在於能匯集並過濾分析多種不同的威脅資料來源,找出其中的關連,在第一時間找出攻擊者的相關資訊,像是利用弱點、手法、攻擊程式、網域名稱等,再將這些情資整合到其他的設備去偵測(Detect)或阻擋(Block),加速企業組織對網路攻擊的回應與抵禦已知、未知的威脅。

    TI 的迷思
    Threat Intelligence有時是個相當寬鬆的用語,所以只有企業自己本身才能清楚的知道廠商所提供的產品或服務是否真正具有「價值」,只有對組織有效的防護資訊才能算是intelligence。

    TIP介紹
    一般說來TIP主要包含了Aggregation、Analysis、Action三大功能。Aggregation主要在彙集各方資料,像是能支援什麼樣的資料來源?結構與非結構性的資料?採用STIX(Structured Threat Information eXpression) 或TAXII(Trusted Automated eXchange of Indicator Information)標準?且匯入的情資如何與原有威脅資料庫相互關連?能否自動處理這些資料以減少人力的耗費等。

    Analysis進階分析工作是TIP平台的核心重點,利用各種分析工具自動解析所彙集的資訊,判斷是否為異常行為,與評估其嚴重性。也會辨別對入侵指標(Indicator of Compromise),像是攻擊者所採用的工具、技術與手法,分析彼此的關係以協助管理人員迅速回應處理。

    Action指的是基於Aggregation與Analysis後所採取的後續動作,它包括了能主要在彙集各方資料,像是能支援什麼樣的資料來源?結構與非結構性的資料?採用STIX(Structured Threat Information eXpression)或TAXII(Trusted Automated eXchange of Indicator Information)標準?且匯入的情資如何與原有威脅資料庫相互關連?能否自動處理這些資料以減少人力的耗費等。

    Analysis進階分析工作是TIP平台的核心重點,利用各種分析工具自動解析所彙集的資訊,判斷是否為異常行為,與評估其嚴重性。也會辨別對入侵指標(Indicator of Compromise),像是攻擊者所採用的工具、技術與手法,分析彼此的關係以協助管理人員迅速回應處理。

    Action指的是基於Aggregation與Analysis後所採取的後續動作,它包括了能結合組織本身的工作流程(Workflow),讓資安、網路等相關團隊能共享資訊以便協同合作進行事件處理;和整合企業既有設備,如SIEM、弱點管理、網路安全等設備,以縮短對威脅的回應時間。

    事件處理的過程與結果也會送回平台內記錄儲存,做為後續改善以進一步優化組織IT架構,並將這些情資再回饋到TIP的社群裡,更新擴大TI也提昇整體社群對抵禦類似新型攻擊的能量。

    付費與免付費的TIP
    目前TIP有一般商業付費與免付費的解決方案,付費的像是IBM QRadar Security Intelligence Platform、ThreatQuotient的ThreatQ平台,還有LogRhythm的Security Intelligence Platform。像ThreatQ能接收上百種的情資來源(Intelligence Feed),包括商業付費的Del l SecureWorks、VeriSign,開放源碼與私有社群三種來源。

    免付費的則有MISP與MITRE CRITS(Collaborative Research Into Threats)。MISP是由MISP使用者所建立、維護與運作的一個社群平台,會員間相互分享全球的網路安全資訊,雖然是免費軟體,也具有直覺的圖形化使用者界面,能輸出OpenIOC、CSV、MISP XML等多種格式以整合IDS等現有設備,並於2016年10月釋出最新的MISP 2.4.52版本。

    MITRE則是由美國聯邦政府所資助成立的一個非營利性研究組織,於2013年發表用以表示網路威脅事件內容的STIX標準架構,協助企業或組織社群能迅速的進行威脅資訊的分享。

    MITRE CRITS結合了分析引擎與威脅資料庫,並進行資訊的分享以協助組織阻擋攻擊威脅。另外像Threat Connect則同時提供免費與付費的多種版本,網站上也提供不同版本間的功能差異。

    TIP與SIEM的差異

    image003

    談到這,或許有些人會有疑問,那TIP和SIEM的差別在哪?沒錯,從某個角度來看,TIP和SIEM功能上的確有不少相同的地方,像是資料的收集與事件關聯等,但兩者還是有其差異(見表1),或者說TIP可用來補足SIEM不足的地方。首先,SIEM主要用做組織內部的資料收集,包括了各個網路閘道設備,和伺服器、PC、NB等終端裝置。而TIP除了內部資料外,更強調來自外部的情資分享收集,以掌握最新的網路攻擊資訊。

    再者SIEM接收資料前需要經過適合的過濾分析,否則僅單純的將所有威脅資訊倒入SIEM裡,容易產生過多且不必要的誤報警示,不但增加資安人員無謂的負擔,也容易錯失真正危險的威脅資訊。最後是SIEM著重在資料的彙集,不一定能支援多種的分析工具,而TIP則能利用不同分析引擎,深入解析多種不同的情資來源,找出真正的威脅提供最新的弱點攻擊資訊,協助資安團隊能藉此迅速做出決策與回應。

    TIP的挑戰
    企業組織建置TIP後,能利用TIP的自動工具加速分析工作來減少處理時間的耗費,且分析引擎會依據威脅的重要性進行區分排序與顯示和特定組織的關連。所以當TIP運作一段時間後,就能針對自身環境找出最有用、精確的威脅來源,做為企業網路風險評估的基準。理想的狀況是當組織企業能了解自己弱點、風險所在後,將這些情資分享到相關的社群,進而推及到整個產業,讓其他相同環境、行業的組織企業都能即時獲取這些威脅情資,如果再遇到相同或類似的APT攻擊時就能馬上予以阻擋,以建立一個安全的網路環境(圖2)。

    image005

                                                                         圖2:理想的TIP社群運作模式

    但在實際運作上,TIP面臨著許多的挑戰。從外在條件來看,需要有足夠的人數加入社群運作才能夠擴大情資來源,再透過不斷的分享更新才能得到即時有效的威脅情資。就內部條件來看,企業組織內需要投注相當的資源與人力(具備技術專業)一段時間後才能看出成效。雖說TIP平台內提供許多的自動工具,但這些工具主要是用來縮短常態性的維護操作時間,不少工作還是需要有人來進行日常的維運。

    舉例來說,當遇到一個未曾發生過的事件時,就需要新建一個事件,賦予必要的屬性、分類、威脅等級,甚至是提供伴隨該事件的惡意程式附檔等資訊,這些都有賴技術人員提供專業的判斷。還有,對於管理人員來說,是否願意分享企業組織所遭遇到的攻擊資訊?或可能違反相關的保密原則等都是在建置TIP時要考量的。

    image007 

    圖3:TIP考量示意圖


    由資安公司所提供的TIS服務
    因此,TIP最好是能由一群具有專業技術能力的人來維持運作,並在全球各地網路上去收集攻擊威脅資訊且不斷即時更新,以發揮TIP的最大效益。這樣聽起來有沒有很熟悉?是的,這些就是網路安全公司多年來每天重複在做的工作。

    資安公司在全球網路上部署數以萬計的Sensor,也會與各大開放源碼的資安社群合作共享資訊,並從安裝在個人或企業客戶端的產品來獲得實際攻擊的寶貴資訊。接著有專屬的安全實驗室由專業的研究人員7x24小時不間斷的分析過濾這些資訊,並長期累積成獨有的資安Know-How,以隨時提供給客戶即時的更新防護。

    所以對於不適合自行建置TIP的組織企業,現在有許多資安公司提供TIS(Threat Intelligence Service)的服務,也就是把TIP平台所產生的TI威脅情資以產品的形式提供給客戶,讓企業即使沒有TIP,也能以TIS的方式立即將TIP的成果直接導入到現有的防護架構中,應用TI阻擋攻擊威脅。

  • SANS:2016年安全分析調查研究報告

    2016-12-23 01:58:31

    2016年12月6日,SANS發佈了第4期(2016年度)安全分析調查研究報告。報告對全球348名受訪者進行了調查研究。結果顯示,38%的人用安全分析來評估風險,35%的人用安全分析來識別惡意行為,31%的人用來實現合規。這也是安全分析最常用的三個場景。安全分析自動化不足的問題依然沒有多大改觀,和上次調查研究相比,依然僅有4%的人認為自己完全最到了安全分析自動化,僅有22%的人使用了機器學習相關的工具來參與安全分析。


    1、資料收集的範圍

    首先是應用日誌(包括應用的審計日誌),第二是網路FW/IDS/IPS/UTM設備日誌,第三是漏掃/配置核查/補丁管理結果,第四是端點保護系統的日誌,再往後還有主機反惡意程式碼系統(AV)日誌,Whois,DNS日誌,情報資料,包檢測資料,使用者行為監測資料,身份資料,資料庫日誌,沙箱日誌,雲安全性記錄檔,大資料系統日誌,等等。

    image001

    2、威脅情報的收集與集成

    首選的用SIEM來收集情報,並將情報與各種資料進行關聯。其次是用自己開發的系統來做。

    image003

    3、安全分析過程的自動化

    認為完全自動化了的只有3.6%,差不多自動化了的有53.7%,根本沒有自動化的有22.1%,還有10.5%的人不知道是否做到了自動化(也基本可以視作沒有自動化)。

    image005

    4、是否發生過資料洩漏

    65%的人都表示過去兩年內自己單位發生過需要處置的資料洩漏事件。表示沒有發生過的占17%。

    image006

    5、回應速度

    整體上好於去年。62%的人表示最快可以在被攻陷後1天之內就檢測出來,而僅有5%的人最長需要超過10個月才能發現自己已經被攻陷。

    image008

    6、報警機制

    針對資訊洩漏和破壞事件的觸發來源,終端監測軟體的報警是最多的方式,其次是依靠SIEM的自動化告警,以及其他分析系統的自動化告警,再往後是依靠邊界防禦設備的告警,協力廠商供應商的告警,客戶發起的報告。

    image009

    7、安全分析的短缺

    最主要的三個短缺依次是:缺乏分析技能(也就是缺人,並且是高水準的人)、缺乏預算和資源、難以進行行為建模和檢測不出異常、缺乏對網路流量和日誌的可視性。簡言之,分析工具再NB,沒有分析人員也白給!

    image011

    8、安全分析工作的頻度

    在防護、檢測和回應階段,安全分析都佔據了很長的時間比,說明安全分析佔據了安全運維工作的重要角色。

    image013

    9、安全分析最有價值的場景

    依次是評估風險、識別可疑或者惡意的用戶行為、合規監測與管理、檢測外部惡意威脅、提升對網路和端點行為的可視性、檢測內部威脅,等等。

    image015

    10、可量化的改進

    有44%的受訪者表示他們通過安全分析工具能夠獲得可量化的改進和提升。

    image017

    11、對自身安全分析能力的滿意度

    16.1%人對於提升檢測速度表示十分滿意,54.1%的人對於性能、回應時間、查詢速度表示滿意,40.9%的人對預測和阻止未知威脅表示不滿意,45.5%的人對於“知彼”能力很不滿意。

    image019

    12、大資料安全分析和安全分析的區別

    還有48.2%的人認為二者沒有本質區別,但有34%的人認為二者有區別,主要體現在分析流程和工具的差異化上。SANS認為將這兩者區分開來標誌著對安全分析的深入理解。

    image021

    13、未來在安全分析領域的投資方向

    跟去年的調查研究類似,第一位的是人員和培訓,有49%的人投給了人和培訓。接下來,42%的人投給了檢測和SOC升級;29%的投給了事件回應(IR)集成;再往後是SIEM工具和系統,以及大資料分析引擎和工具。有趣的是安全情報產品工具和服務從去年的43%降低到了今年的18%,SANS估計是因為組織當前更加注重內部資料的收集,多過依賴協力廠商產品和服務。

    image023

    小結:更多的組織和單位開始使用安全分析,我們收集的資料越來越多,也越來越好,但最大的問題還不能很好地利用這些資料來進行檢測與回應。儘管我們可以更快地發現未知威脅,但是我們依然沒能很好地劃定威脅優先順序、集中的修復和彙報,以及建立正常的行為模型從而標記出異常。導致如此的原因之一就在於長期缺乏SOC運維的技能,以及管理上和資金上的支撐。

    Utilization of security analytics is slowly improving, and we’ve done a much better job of collecting data, but more effort is needed to detect, respond and report results using analytics before we can say we’re really maturing in this space.