SIEM

  • 無文件攻擊的興起與應對之道

    無文件攻擊的興起與應對之道

    無文件攻擊比基於惡意軟體的傳統威脅更容易實施也更有效,因而給公司企業的安全防護帶來了更大的挑戰。

    網路罪犯自然會尋找阻力最小的途徑實施攻擊,這也正是越來越多的網路罪犯採用無文件攻擊的原因所在。隨著攻擊者對該攻擊手法的應用越來越得心應手,企業雇員越來越依賴移動設備和雲來開展工作,無文件攻擊的威脅也越來越大了。

    無文件攻擊也就是非惡意軟體攻擊,是一種可以讓攻擊者省去傳統惡意軟體攻擊所需步驟的攻擊手法。他們不用建立攻擊載荷,只需簡單地利用可信程式獲取記憶體存取即可。2017年,利用PowerShell或WMI的無文件攻擊占了全年攻擊總數的52%

    儘管如此,企業依然沒有對無文件攻擊投以足夠的關注。大多數人對網路安全行業的認知依然停留在打了多年交道的傳統攻擊方法上。

    企業是時候進一步瞭解這些威脅的工作機制了。他們有必要搞清如何檢測無文件攻擊,為什麼無文件攻擊會呈增多趨勢,以及可以採取哪些步驟做好防護。

    現代無文件攻擊的進化史

     無文件攻擊並不是新鮮事物,但它們隨著時間流逝而發展變化。

     今天的無文件攻擊遠不止“無文件”這麼簡單,要說無文件的話,十幾年前的紅色代碼(Code Rad)病毒和Slammer蠕蟲就應用了無文件的概念,藏身於記憶體之中;但今天的無文件攻擊是整個攻擊鏈、攻擊步驟全都無文件。即便今天的無文件攻擊確實涉及到攻擊載荷,這些載荷也往往貌似合法,因而非常難以檢測。

     無文件惡意軟體攻擊的增長,源于其易用性和終端檢測及回應(EDR)工具的改進。

    網路中真正令企業傷筋動骨的,是用戶名和密碼被盜,而不是擺了他們一道的惡意軟體本身。

     攻擊者使用域帳戶和IP管理員密碼在目標網路內橫向移動並盜取資訊。他們的活動形式多樣,大多數情況下獲取某使用者的 Office 365 或AWS登入帳戶更有價值。

     某種程度上,所有攻擊者都必須先進入網路或系統,也就是說,憑證盜竊是攻擊的第一步。本地管理員憑證往往是首選,因為沒人對它們多加關注,它們也沒被指派給具體個人。這基本上是種常態,畢竟這麼做可以讓管理工作更簡單些。服務帳戶憑證同樣脆弱。攻擊者一旦接入系統,就會用提權技術提升此類帳戶的許可權。

    為什麼會暴露在風險之中

    公司企業沒掌握自身IT系統複雜性,未能完全監視自家整個生態系統,是令自身暴露在風險之中的一大原因。

     很多企業都被大量資料淹沒,且無法將帳戶和用戶行為整合到一起以供分析。而只要無法跟蹤,也就無法知道哪個帳戶存取了哪些資源。

     如果企業員工還沒採用基本安全操作,那麼所面臨的威脅還會更大。網路釣魚攻擊就是用於獲取憑證的一大流行方式。

     駭客會對員工發起針對性攻擊,尋求其亞馬遜、Gmail、PayPal和其他常見服務的登入憑證。他們知道人們常會使用同一對用戶名和密碼登入不同的服務。

     一旦駭客入手了員工的個人帳戶,就可以利用該帳戶嘗試進入其企業網路。很多攻擊者都會對低級別員工下手,以期通過監視其郵件活動來分析出高級別員工的帳戶資訊。

    威脅蓄勢待發

     隨著員工越來越移動化和雲端化,無文件攻擊也會見長。遠端辦公極大地增加了對基礎設施的風險。從外面帶進來的設備都應該在登入本地網路之前再進行一次鏡像和掃描。

     移動設備在醫療保健行業所占比重越來越大,各行各業也都在朝著雲端邁進。但像雲這樣的環境,CISO對誰從哪兒登入的系統到底瞭解多少呢?大部分人都假定雲是安全的,但雲上包含有大量早已棄用理應註銷的憑證,這些憑證可都是攻擊者觸手可得的合法憑證。

     鑒於受經濟利益驅動的攻擊者將一直存在,未來將有更多威脅對企業造成損害幾乎是肯定的。殘酷的現實是,我們將見證破壞性攻擊的增長。

    我們能做些什麼?

     防止網路釣魚應從員工培訓做起。滲透測試是個不錯的培訓辦法,可以增強員工對網路釣魚的免疫力,不至於一被釣魚就上鉤。還應設立暢通的員工報告管道,讓員工只要發現可疑跡象就能快速上報。

     除此之外,公司企業還應緊密關注其生態系統中的各種活動。

     可以引入工具集,找出公司整個基礎設施上的所有憑證。結果可能會令人大吃一驚,基礎設施上流轉的憑證數量往往比員工總數多得多。

     評估了憑證數量之後,公司安全團隊還應深挖這些憑證的使用情況。比如都是誰在哪裡使用了這些憑證,是怎麼使用的。正常登入地點之外的憑證使用都應觸發警報。大型企業或跨國企業這種基礎設施規模龐大的機構組織,有必要引入自動化技術進行憑證安全管理工作。

     傳統身份與存取管理方法也可以借鑒一二,而如果企業夠成熟,可以考慮採納能自動化存取管理的工具集。這些工具在幫助企業掌握網路登入者的身份、位置、登入方法和所做動作上應該會很有幫助。

     

    凱信資訊提供企業帳號身份管理(Identity Managment),能快速盤點企業相關帳號及權限,以及特權帳號密碼管理(Privileged Access Management)能針對特權用戶的帳號密碼進行控管,並追查相關帳戶的使用活動(SIEM / UBA - User Behavior Analytics),進而分析帳號是否被盗用。

  • IBM QRadar SIEM名列2017Gartner安全資訊與事件管理領導者

    IBM QRadar SIEM名列2017Gartner安全資訊與事件管理領導者

    2017-12-14 22:26經濟日報 蔡尚勳

    在全球著名研究機構Gartner 近日最新公布的「安全資訊與事件管理力魔力象限」(Magic Quadrant for Security Information and Event Management) 報告中,IBM 再度名列「領導者(Leader)」,這已是IBM QRadar 連續第九年在Gartner 的SIEM 魔力象限獲選為領導者。

    Gartner 定義SIEM 市場需求為:即時分析事件資料,以便早期偵測蓄意攻擊與資料洩露,並且收集、儲存、分析、調查、回報事件資料,提供事件回應、鑑識、合規所用。

    IBM QRadar 提供多項進階功能,包括使用者行為分析(User Behavior Analytics, UBA) 、網路活動與異常檢測分析(Network Insights)、機器學習(Machine Learning)分析應用、認知安全(Watson CyberSecurity)應用等。並且透過QRadar App Exchange,大幅拓展了與第三方合作夥伴工具的整合能力。QRadar 結合IBM X-Force 威脅情資,並納入IBM Resilient 安全事件回應平台,將偵測與事後回應工作密切結合,提供完整的處理機制。

    Gartner 評鑑IBM 的SIEM 旗艦產品QRadar 的優勢在於:

    1.支援中大型企業所需的SIEM核心能力,並提供一套能涵蓋多種安全監控與維運技術的整合平台。

    2.提供能支援多重環境(on-premises與IaaS雲端) 監控的靈活架構。

    3.QRadar App Exchange 可將多方內容與資源整合進入QRadar Console 中控台,提升使用體驗。

    4.免費的使用者行為分析(UBA)與機器學習(Machine Learning) 應用,有助於企業進行進階的分析與針對使用者行為的監控。

    5.整合並關聯多重的網路事件來源,提供單一視圖。

    Gartner2017

    Gartner 的各項Use Case 評比當中,QRadar 在二項指標當中都是第一名:

    1. Advanced Threat Detection Use Case   (進階威脅偵測)

    2. Forensics and Incident Response Use Case  (鑑識與事件回應)

    IBM QRadar為「安全免疫系統」的指揮中樞

    辨識威脅行為當下提出告警,已是SIEM基本功能。目前企業更關注於聯合防禦機制,也就是在判斷威脅行為當下須觸發具備控制能力的防火牆、IPS等資安設備,立即執行阻斷,藉此降低資安事件造成的損害。

    IBM資訊安全事業部協理金天威表示,為了協助企業建立資安關鍵的預防、偵測、回應能力,IBM提出「安全免疫系統」架構,統一整合端點、行動應用、資料與應用程式、雲端、身分驗證與存取、進階詐騙、網路、外部威脅情資等各個環節的資訊,以IBM QRadar作為核心中樞,建置資安智慧平台執行大數據分析,提供網路、使用者、資料(庫)及應用程式等活動的深度可視性,協助快速偵測威脅,並依據風險等級排列事件處理的優先順序,協助關鍵問題答案、更有效管理資安威脅。

    SIEM未來發展在3C

    全球資安攻擊事件層出不窮,新型態的網路攻擊日新月異,加上全球資安人才短缺日益嚴重,對企業資安整體策略帶來重大挑戰。從SIEM 解決方案持續演進的趨勢來看,以下三點是關鍵方向,亦為IBM整體安全架構及IBM QRadar 發展的重點:

    1.Cloud 雲端安全— 利用雲端資源提供簡單、隨時可得的安全防護。

    2.Collaboration協同合作— 分享與善用威脅情資、分析與最佳實踐,減輕人才缺乏的壓力。

    3.Cognitive認知運算/人工智慧— 面對資安資料爆炸性成長與資安知識落差,運用智慧達成自動化,做出更好、更快的決策。

  • WannaCry勒索病毒不相信眼淚,破局有四招!

    這是一次破壞性極強的黑客襲擊事件,病毒頃刻之間蔓延全球,爆發不到48小時,100多個國家和地區的企業紛紛中招,目前所知的波及國家數量已超150個,中招設備數量超過30萬台,沒錯,它就是讓人頭疼到想哭的WannaCry勒索病毒。

    WannaCry勒索病毒,有人歡喜有人愁

    WannaCry把中招的人搞得真心想哭。試想,打開電腦,你就有可能面臨著一筆300美元的比特幣「贖金」。雖然安全專家極力強調,不要繳納贖金以免助紂為虐,可不交的話,電腦中所有的重要資料便會丟失,為此讓人虐心。據統計,在事件爆發的第二天晚間,全球已有90人交付贖金,其後繳納贖金的人數上升至116人,而這一數字還在不斷上漲。

    大多數IT安全人員因為這次席捲全球的勒索攻擊事件而在周末忙得不可開交,有的忙著更新補丁,有的猶豫交贖金。而IBM內部尚未接到受感染的案例報告,因為IBM在4月份已通過BigFix向所管理的終端自動推送了此補丁。

    但千萬不要誤以為WannaCry攻擊風波已經平息,未來將還會有更多更新的勒索病毒軟體會利用類似漏洞開展新一波攻擊。作為近來最流行的在線威脅,勒索病毒軟體有時每天發生超過40,000次攻擊,並占攜帶惡意代碼的所有垃圾郵件的65%以上。

    據跟蹤垃圾郵件趨勢的IBM X-Force研究人員指出,2016年,勒索軟體垃圾郵件的增長速度達到了驚人的6000%,從2015年占垃圾郵件的0.6%已上升至2016年占垃圾郵件的平均40%,而2017年情況顯然只會更糟。面對如此嚴峻的安全形勢,唯有依託IBM安全免疫系統,未雨綢繆,方能無懼無憂。

    防範WannaCry勒索病毒攻擊的正確招式

    勒索病毒看似破壞力驚人,其實破解只需四大招!

    1. 補丁更新:公司需要確認是否及時安裝了最新補丁,在勒索病毒變種前對其加以遏制。
    2. 網路阻斷:對於為安裝補丁的系統來說,攔截機制是第二道防線。因此,公司必須確保安全軟體及網路攔擊技術已更新至最新版本。
    3. 即時監控:增設監控,通過數據反饋安全進展。
    4. 積極應對:公司應與IT安全團隊緊密協作,並制定受到感染後的應對策略。

    IBM WannaCry

    看了上面的防範四大招,我們來復原一下IBM安全解決方案為客戶保駕護航的全過程。其實,早在今年3月檢測出 Windows漏洞時,IBM X-Force 的安全研究人員就已做出應對,提醒用戶升級相關補丁;藉助 IBM 的 BigFix 安全補丁和 QRadar 網路保護技術,客戶可以對其數據進行妥善保護。此外,Watson for Cyber Security 能夠分析攻擊警告,並向客戶及託管安全運營中心反饋相關數據。

    其中IBM的終端管理產品在微軟補丁發布當天,即3月14日便發布了更新,IBM入侵防禦系統在4月20日發布更新特徵庫,更新後的產品具有對該漏洞的全面防禦能力。同時,對於其它非IBM用戶防護此病毒除了儘快更新Windows系統相關補丁外,也可利用IBM X-Force Exchange安全情報平台獲得最新的安全信息。X-Force Exchange安全情報平台在漏洞披露當天即發布了漏洞警告,提醒用戶升級相關補丁;除了公布漏洞和攻擊消息,X-Force Exchange安全情報平台還提供了用於防禦的Snort規則、此波攻擊主要IP、已發現惡意軟體哈希值等多項重要信息,便於用戶進行自查和防禦。

    基於四大招,IBM安全解決方案在此次網路安全攻擊中的應對策略如下:

    01補丁支持

    藉助BigFix Patch管理,確保能夠發現並報告所有終端設備的安全情況,儘可能讓受到感染的終端設備自動安裝補丁。並利用閉環驗證,確保補丁安裝成功。同時啟用所有終端設備的持續策略執行狀態,縮小受攻擊面。

    02網路阻斷

    藉助QRadar Network Security,在內部部署網路保護設備。確保進行IP信譽度評分及 URL 過濾,以自動攔截惡意站點存取。並確保網路保護的簽名及Firmware保持在最新版本。

    03即時監控

    通過QRadar Watson、X-Force Exchange與X-Force Malware Analysis的即時聯動,藉助X-Force獲得通用的關聯視圖,對安全分析相關日誌、網路流量及用戶行為進行優先排序,進一步部署網路安全設備,即時檢測惡意軟體及攻擊活動。同時,對使用基於雲的惡意軟體分析服務及自動發送/接收功能,以便快速識別威脅。並利用Watson認知功能打破結構化數據的局限,並將全球最新的研究洞察力運用到活躍威脅防禦之中。

    04積極應對

    實現ResilientBigFix與X-Force IRIS的多方聯動下的未雨綢繆,制定並測試意外事件響應計劃,確保人員、流程與技術的統一。同時確保 IR 流程的統一性、可靠性及合規性,而且可輕鬆予以改進。並在威脅傳播並造成更大危害之前識別、檢測、遏制並修復威脅。此外,通過諮詢具有豐富意外事件管理與安全智能經驗的專家,協助客戶渡過危機,並通過完整的 IR 統籌安排與自動化啟動決定性行動。

    可以看見,IBM的QRadar、X-Force與BigFix等安全產品在此次對於勒索病毒的防禦中各司其職又相互聯動,對安全隱患實施監測並予以阻斷,有效防止用戶遭受侵害。

    從WannaCry到Adylkuzz等層出不窮的勒索軟體,勒索病毒的進攻方式愈加隱蔽,危害更為嚴重,是時候給你的企業建立真正的安全免疫系統了。快快深入了解IBM安全解決方案,不等勒索找上門。



  • 料敵機先 事件處理早一步做

    來源:資安人 作者:陳啟川 -2016 / 12 / 22

    企業即使部署資安事件管理平台(SIEM),要在數以萬計的資料中馬上辨別出真正的攻擊並做出回應就像大海撈針,因此威脅情資平台的需求逐漸興起。如果ATM攻擊事件的苦主也有採用TIP/TIS,或許可以儘早亡羊補牢。

    在談Threat Intelligence前,請先回想一下APT攻擊流程示意圖(圖1);從一開始鎖定目標進行觀察研究,再依結果製作出攻擊工具,然後傳送到攻擊目標,針對目標的弱點發動攻擊,在控制目標後開始執行惡意工具,並從遠端下載更新惡意軟體或傳送機密資訊,到此完成一個精密的APT攻擊。

    image001

                                                                           圖1:APT攻擊流程示意圖

    Threat intelligence的功能
    企業在面對這類深度有效的針對性攻擊都顯得力有未逮, 即使部署了SIEM平台(Security Information Event Management),要在數以萬計的資料中馬上辨別出哪些是真正的攻擊威脅做出回應就像大海撈針一樣。從攻擊者的角度看,耗費大量心力才完成的精密攻擊只用一次豈不可惜,所以自然會再尋找相同產業或有類似環境的企業再次發動攻擊,因此開始有威脅情資平台(Threat Intelligence Platform, TIP)概念的出現。

    TIP主要功能在於能匯集並過濾分析多種不同的威脅資料來源,找出其中的關連,在第一時間找出攻擊者的相關資訊,像是利用弱點、手法、攻擊程式、網域名稱等,再將這些情資整合到其他的設備去偵測(Detect)或阻擋(Block),加速企業組織對網路攻擊的回應與抵禦已知、未知的威脅。

    TI 的迷思
    Threat Intelligence有時是個相當寬鬆的用語,所以只有企業自己本身才能清楚的知道廠商所提供的產品或服務是否真正具有「價值」,只有對組織有效的防護資訊才能算是intelligence。

    TIP介紹
    一般說來TIP主要包含了Aggregation、Analysis、Action三大功能。Aggregation主要在彙集各方資料,像是能支援什麼樣的資料來源?結構與非結構性的資料?採用STIX(Structured Threat Information eXpression) 或TAXII(Trusted Automated eXchange of Indicator Information)標準?且匯入的情資如何與原有威脅資料庫相互關連?能否自動處理這些資料以減少人力的耗費等。

    Analysis進階分析工作是TIP平台的核心重點,利用各種分析工具自動解析所彙集的資訊,判斷是否為異常行為,與評估其嚴重性。也會辨別對入侵指標(Indicator of Compromise),像是攻擊者所採用的工具、技術與手法,分析彼此的關係以協助管理人員迅速回應處理。

    Action指的是基於Aggregation與Analysis後所採取的後續動作,它包括了能主要在彙集各方資料,像是能支援什麼樣的資料來源?結構與非結構性的資料?採用STIX(Structured Threat Information eXpression)或TAXII(Trusted Automated eXchange of Indicator Information)標準?且匯入的情資如何與原有威脅資料庫相互關連?能否自動處理這些資料以減少人力的耗費等。

    Analysis進階分析工作是TIP平台的核心重點,利用各種分析工具自動解析所彙集的資訊,判斷是否為異常行為,與評估其嚴重性。也會辨別對入侵指標(Indicator of Compromise),像是攻擊者所採用的工具、技術與手法,分析彼此的關係以協助管理人員迅速回應處理。

    Action指的是基於Aggregation與Analysis後所採取的後續動作,它包括了能結合組織本身的工作流程(Workflow),讓資安、網路等相關團隊能共享資訊以便協同合作進行事件處理;和整合企業既有設備,如SIEM、弱點管理、網路安全等設備,以縮短對威脅的回應時間。

    事件處理的過程與結果也會送回平台內記錄儲存,做為後續改善以進一步優化組織IT架構,並將這些情資再回饋到TIP的社群裡,更新擴大TI也提昇整體社群對抵禦類似新型攻擊的能量。

    付費與免付費的TIP
    目前TIP有一般商業付費與免付費的解決方案,付費的像是IBM QRadar Security Intelligence Platform、ThreatQuotient的ThreatQ平台,還有LogRhythm的Security Intelligence Platform。像ThreatQ能接收上百種的情資來源(Intelligence Feed),包括商業付費的Del l SecureWorks、VeriSign,開放源碼與私有社群三種來源。

    免付費的則有MISP與MITRE CRITS(Collaborative Research Into Threats)。MISP是由MISP使用者所建立、維護與運作的一個社群平台,會員間相互分享全球的網路安全資訊,雖然是免費軟體,也具有直覺的圖形化使用者界面,能輸出OpenIOC、CSV、MISP XML等多種格式以整合IDS等現有設備,並於2016年10月釋出最新的MISP 2.4.52版本。

    MITRE則是由美國聯邦政府所資助成立的一個非營利性研究組織,於2013年發表用以表示網路威脅事件內容的STIX標準架構,協助企業或組織社群能迅速的進行威脅資訊的分享。

    MITRE CRITS結合了分析引擎與威脅資料庫,並進行資訊的分享以協助組織阻擋攻擊威脅。另外像Threat Connect則同時提供免費與付費的多種版本,網站上也提供不同版本間的功能差異。

    TIP與SIEM的差異

    image003

    談到這,或許有些人會有疑問,那TIP和SIEM的差別在哪?沒錯,從某個角度來看,TIP和SIEM功能上的確有不少相同的地方,像是資料的收集與事件關聯等,但兩者還是有其差異(見表1),或者說TIP可用來補足SIEM不足的地方。首先,SIEM主要用做組織內部的資料收集,包括了各個網路閘道設備,和伺服器、PC、NB等終端裝置。而TIP除了內部資料外,更強調來自外部的情資分享收集,以掌握最新的網路攻擊資訊。

    再者SIEM接收資料前需要經過適合的過濾分析,否則僅單純的將所有威脅資訊倒入SIEM裡,容易產生過多且不必要的誤報警示,不但增加資安人員無謂的負擔,也容易錯失真正危險的威脅資訊。最後是SIEM著重在資料的彙集,不一定能支援多種的分析工具,而TIP則能利用不同分析引擎,深入解析多種不同的情資來源,找出真正的威脅提供最新的弱點攻擊資訊,協助資安團隊能藉此迅速做出決策與回應。

    TIP的挑戰
    企業組織建置TIP後,能利用TIP的自動工具加速分析工作來減少處理時間的耗費,且分析引擎會依據威脅的重要性進行區分排序與顯示和特定組織的關連。所以當TIP運作一段時間後,就能針對自身環境找出最有用、精確的威脅來源,做為企業網路風險評估的基準。理想的狀況是當組織企業能了解自己弱點、風險所在後,將這些情資分享到相關的社群,進而推及到整個產業,讓其他相同環境、行業的組織企業都能即時獲取這些威脅情資,如果再遇到相同或類似的APT攻擊時就能馬上予以阻擋,以建立一個安全的網路環境(圖2)。

    image005

                                                                         圖2:理想的TIP社群運作模式

    但在實際運作上,TIP面臨著許多的挑戰。從外在條件來看,需要有足夠的人數加入社群運作才能夠擴大情資來源,再透過不斷的分享更新才能得到即時有效的威脅情資。就內部條件來看,企業組織內需要投注相當的資源與人力(具備技術專業)一段時間後才能看出成效。雖說TIP平台內提供許多的自動工具,但這些工具主要是用來縮短常態性的維護操作時間,不少工作還是需要有人來進行日常的維運。

    舉例來說,當遇到一個未曾發生過的事件時,就需要新建一個事件,賦予必要的屬性、分類、威脅等級,甚至是提供伴隨該事件的惡意程式附檔等資訊,這些都有賴技術人員提供專業的判斷。還有,對於管理人員來說,是否願意分享企業組織所遭遇到的攻擊資訊?或可能違反相關的保密原則等都是在建置TIP時要考量的。

    image007 

    圖3:TIP考量示意圖


    由資安公司所提供的TIS服務
    因此,TIP最好是能由一群具有專業技術能力的人來維持運作,並在全球各地網路上去收集攻擊威脅資訊且不斷即時更新,以發揮TIP的最大效益。這樣聽起來有沒有很熟悉?是的,這些就是網路安全公司多年來每天重複在做的工作。

    資安公司在全球網路上部署數以萬計的Sensor,也會與各大開放源碼的資安社群合作共享資訊,並從安裝在個人或企業客戶端的產品來獲得實際攻擊的寶貴資訊。接著有專屬的安全實驗室由專業的研究人員7x24小時不間斷的分析過濾這些資訊,並長期累積成獨有的資安Know-How,以隨時提供給客戶即時的更新防護。

    所以對於不適合自行建置TIP的組織企業,現在有許多資安公司提供TIS(Threat Intelligence Service)的服務,也就是把TIP平台所產生的TI威脅情資以產品的形式提供給客戶,讓企業即使沒有TIP,也能以TIS的方式立即將TIP的成果直接導入到現有的防護架構中,應用TI阻擋攻擊威脅。

  • SANS:2016年安全分析調查研究報告

    2016-12-23 01:58:31

    2016年12月6日,SANS發佈了第4期(2016年度)安全分析調查研究報告。報告對全球348名受訪者進行了調查研究。結果顯示,38%的人用安全分析來評估風險,35%的人用安全分析來識別惡意行為,31%的人用來實現合規。這也是安全分析最常用的三個場景。安全分析自動化不足的問題依然沒有多大改觀,和上次調查研究相比,依然僅有4%的人認為自己完全最到了安全分析自動化,僅有22%的人使用了機器學習相關的工具來參與安全分析。


    1、資料收集的範圍

    首先是應用日誌(包括應用的審計日誌),第二是網路FW/IDS/IPS/UTM設備日誌,第三是漏掃/配置核查/補丁管理結果,第四是端點保護系統的日誌,再往後還有主機反惡意程式碼系統(AV)日誌,Whois,DNS日誌,情報資料,包檢測資料,使用者行為監測資料,身份資料,資料庫日誌,沙箱日誌,雲安全性記錄檔,大資料系統日誌,等等。

    image001

    2、威脅情報的收集與集成

    首選的用SIEM來收集情報,並將情報與各種資料進行關聯。其次是用自己開發的系統來做。

    image003

    3、安全分析過程的自動化

    認為完全自動化了的只有3.6%,差不多自動化了的有53.7%,根本沒有自動化的有22.1%,還有10.5%的人不知道是否做到了自動化(也基本可以視作沒有自動化)。

    image005

    4、是否發生過資料洩漏

    65%的人都表示過去兩年內自己單位發生過需要處置的資料洩漏事件。表示沒有發生過的占17%。

    image006

    5、回應速度

    整體上好於去年。62%的人表示最快可以在被攻陷後1天之內就檢測出來,而僅有5%的人最長需要超過10個月才能發現自己已經被攻陷。

    image008

    6、報警機制

    針對資訊洩漏和破壞事件的觸發來源,終端監測軟體的報警是最多的方式,其次是依靠SIEM的自動化告警,以及其他分析系統的自動化告警,再往後是依靠邊界防禦設備的告警,協力廠商供應商的告警,客戶發起的報告。

    image009

    7、安全分析的短缺

    最主要的三個短缺依次是:缺乏分析技能(也就是缺人,並且是高水準的人)、缺乏預算和資源、難以進行行為建模和檢測不出異常、缺乏對網路流量和日誌的可視性。簡言之,分析工具再NB,沒有分析人員也白給!

    image011

    8、安全分析工作的頻度

    在防護、檢測和回應階段,安全分析都佔據了很長的時間比,說明安全分析佔據了安全運維工作的重要角色。

    image013

    9、安全分析最有價值的場景

    依次是評估風險、識別可疑或者惡意的用戶行為、合規監測與管理、檢測外部惡意威脅、提升對網路和端點行為的可視性、檢測內部威脅,等等。

    image015

    10、可量化的改進

    有44%的受訪者表示他們通過安全分析工具能夠獲得可量化的改進和提升。

    image017

    11、對自身安全分析能力的滿意度

    16.1%人對於提升檢測速度表示十分滿意,54.1%的人對於性能、回應時間、查詢速度表示滿意,40.9%的人對預測和阻止未知威脅表示不滿意,45.5%的人對於“知彼”能力很不滿意。

    image019

    12、大資料安全分析和安全分析的區別

    還有48.2%的人認為二者沒有本質區別,但有34%的人認為二者有區別,主要體現在分析流程和工具的差異化上。SANS認為將這兩者區分開來標誌著對安全分析的深入理解。

    image021

    13、未來在安全分析領域的投資方向

    跟去年的調查研究類似,第一位的是人員和培訓,有49%的人投給了人和培訓。接下來,42%的人投給了檢測和SOC升級;29%的投給了事件回應(IR)集成;再往後是SIEM工具和系統,以及大資料分析引擎和工具。有趣的是安全情報產品工具和服務從去年的43%降低到了今年的18%,SANS估計是因為組織當前更加注重內部資料的收集,多過依賴協力廠商產品和服務。

    image023

    小結:更多的組織和單位開始使用安全分析,我們收集的資料越來越多,也越來越好,但最大的問題還不能很好地利用這些資料來進行檢測與回應。儘管我們可以更快地發現未知威脅,但是我們依然沒能很好地劃定威脅優先順序、集中的修復和彙報,以及建立正常的行為模型從而標記出異常。導致如此的原因之一就在於長期缺乏SOC運維的技能,以及管理上和資金上的支撐。

    Utilization of security analytics is slowly improving, and we’ve done a much better job of collecting data, but more effort is needed to detect, respond and report results using analytics before we can say we’re really maturing in this space.