20XX年10月份,緊接着20XX年度日誌管理調研報告(Log management survey),SANS又發佈了20XX年度的安全分析與智能調研報告(Analytics and Intelligence Survey 20XX)。
SANS認爲,安全分析與日誌管理逐漸分開了,當下主流的SIEM/安管平臺廠商將目光更多地聚焦到了安全分析和安全智能上,以實現所謂的下一代SIEM/安管平臺。而安全分析和安全智能則跟BDA(大數據分析)更加密切相關。
SANS對安全智能的定義採納了Gartner的定義。而安全智能(Security Intelligence)這個詞的最早定義就來自於Gartner的Fellow——約瑟夫。費曼(2010年的報告——《準備企業安全智能的興起》)。這,在2013年的日誌分析調查報告中明確指出來了:企業安全智能包括對企業的IT系統中所有跟安全相關的數據的收集,以及安全團隊的知識和技能的運用,從而達成風險消減的目的。
今年,SANS對安全分析(Security Analytics,或者叫安全數據分析,數據分析)給出了一個自己的定義:
近年來,勞動密集型企業的生產車間、倉庫等火災頻繁發生,使國家和人民羣衆生命財產遭受重大損失,形勢十分嚴峻。如何抓好勞動密集型企業的消防安全工作,是擺在我們面前的一個重要課題。
The discovery (through various analysis techniques) and communication (such as through visualization) of meaningful patterns or intelligence in data。【對數據中有意義的模式或者情報(通過多種分析技術)進行發現和溝通(例如通過可視化方式)】
SANS還追溯了一下安全分析的起源,其實早在1986年就正式出現了。從最早的IDS,到後來的SIEM,再到現在的安全智能,形成了一條安全分析的發展時間線。
關於安全智能,SANS做了一個腳註,就是安全智能不是自動化的機器智能,還需要訓練有素安全分析師的參與。
從業人員素質低,技術力量薄弱,效率低下,不具備市場競爭能力,產品質量保證能力嚴重不足,給食品安全帶來嚴重的安全隱患。
報告中,SANS還給威脅情報下了一個定義:Threat intelligence is the set of data collected, assessed and applied regarding security threats, malicious actors, exploits, malware, vulnerabilities and compromise indicators。
【注:安全智能跟安全/威脅情報中都有一個相同的英文Intelligence,但是含義還是有所區別的】
SANS對350位IT專業人士進行了調查問卷。報告顯示:
1)有47%的用戶依然投資在SIEM上,通過增強的SIEM獲得安全分析的能力;
2)27%的用戶將內部威脅情報關聯應用於SIEM;
3)61%的用戶認爲大數據將在安全分析中扮演必不可少角色(36%認爲大數據扮演關鍵角色,25%認爲大數據是必要的,但不是最關鍵的);
4)47%的用戶認爲他們的情報和分析實踐初步實現了自動化。
各單位按照教育局的統一要求,對校舍安全、飲食安全、交通安全、防汛安全等進行了拉網式的大檢查,發現問題,及時整改,保證了師生的安全。
將消防宣傳融入文化、科技、衛生“三下鄉”活動中,開展貼近實際、貼近生活、富有實效的消防法律法規和消防知識宣傳教育。
SANS進行了多項有針對性的調查。其中,“攻擊檢測與響應的障礙”首當其衝的是缺乏對應用、以及支撐的系統和脆弱性的可見性(39。1%);排在第二的障礙是難以理解和標識正常行爲,進而導致無法識別異常行爲;排在第三位的是缺乏訓練有素的人;排在第四位的是不知道哪些是關鍵的需要採集的信息,以及如何進行關聯。
在問及“安全分析人員主要看什麼系統產生的日誌”時,57%的人選擇了傳統的邊界防禦設備(FW/IDP)產生的.告警;42%的人選擇了終端監測系統的告警(譬如防病毒)。此外,有37%的人選擇了“SIEM的自動化告警”,還有32%的人選擇了通過SIEM/LM去進行事件分析,並手工產生告警。SANS認爲,調查結果表明下一代的SIEM具備自動化分析和智能告警的能力。
在問及“實現安全智能需要跟哪些檢測技術交互”時,幾乎各種檢測技術都有涉及,印證了安全智能的技術交互的廣泛性。在目前,主要交互(對接)的是FW/UTM/IDP、漏洞管理、基於主機的惡意代碼分析(終端防病毒)、SIEM、LM。在未來,計劃要交互的主要是基於網絡的惡意代碼分析(沙箱)、NAC、用戶行爲監控。
在問及“對當前安全分析能力的滿意度”時,最滿意的是分析的性能與響應時間,最不滿意的是安全分析的可見性,分析師的培訓以及分析師的緊缺排在最不滿意的第三位。
由於業主多且分散,在公共場地的使用、車輛的停放、物業公司的服務質量等方面業主與物業之間很容易引起矛盾,造成雙方產生不信任和糾紛的情形,加上傳統的“主僕”觀念影響,物業管理處於被動弱勢地位,導致物業管理費用不能及時收取。同時現有法律對建築大修理基金的收取、保管、使用等方面的規定,要求維修基金的使用由售房單位或受託的物業管理企業作爲實施單位,提出年度使用計劃及分項目維修經費預算報告書,經業主委員會審覈,房地產行政管理部門審批後方可將維修基金分批撥付實施單位,其操作程序複雜,很少有物業單位有決心和耐心去申請和使用這筆經費,致使包括消防設施在內的公共設施維護保養經費的使用得不到有效保障。
當然,還有另一個重要的原因是:我們的社會大衆還沒意識到美術思維重要性,總覺得是副科,是興趣愛好,但我想一個擁有藝術修養懂得用創意思維來想事情看問題的人比一千個只知道背書本的人都強!我不知道我國的這種局面什麼時候能改變,或許幾十年又或許幾百年……但這改變絕不是一個兩個人就能做到的,或許等下次爆發思想的革命運動的時候我們的這個夢想該實現的時候了!我追着夢想,等待着這一天的到來!
在問及“應用安全分析最有價值的作用”是什麼時,首選最高的是發現未知威脅,次選最高的是檢測內部威脅,第三選擇最高的是降低錯報。
在問及“未來對安全分析/智能的投資”領域時,67%的受訪者選擇了培訓/人員,其次是事故響應能力,第三是SIEM(47%)。此外,選擇基於網絡包的分析、用戶行爲監控、情報、大數據分析引擎的人都超過了20%。