SANS：2013年度安全分析（日志管理）调查报告

2013年9月份&＃xff0c;SANS发布了2013年度的日志管理调查报告。今年的报告改名为安全分析调查&＃xff08;Security Analytics Surevey&＃xff09;。这次的调查之所以改名&＃xff0c;是因为此次SANS将调查的内容聚焦到了大数据库分析上。这也进一步说明了SIEM/LM与BDA之间的密切关系。的确&＃xff0c;正如SANS所述&＃xff0c;在谈到安全的大数据分析&＃xff0c;人们一般都会首先将注意力放到SIEM/LM产品及工具上。而SIEM/LM也是最积极拥抱大数据分析的产品和技术。

SANS认为&＃xff0c;一般的BDA架构包括两个基础性技术&＃xff1a;分布式程序框架和非关系型数据存储。然而&＃xff0c;在SIEM平台&＃xff0c;并非绝对&＃xff0c;除了上述两个基础性技术&＃xff0c;现在还有很多其他的架构选择&＃xff0c;依然能够更快更精准地采集和处理天量数据。正如调查报告显示的&＃xff0c;调查表明大部分用户仍然在观望采用诸如hadoop技术的安全分析工具&＃xff0c;同时更多地借助现有SIEM/LM产品架构来尝试安全大数据分析。

什么是安全分析&＃xff1f;可以看作是下一代的SIEM/LM技术&＃xff0c;通常包括&＃xff1a;更广泛的安全事件类型的采集&＃xff0c;不仅是现在的软硬件资产的日志信息&＃xff1b;更有效的关联分析&＃xff0c;包括情境关联和关联规则发现&＃xff1b;更加前摄性的和更加具有指导性的分析&＃xff0c;包括对下一步的预测分析和对已发生事件根本原因分析&＃xff1b;更大范围内的分析&＃xff0c;尤指安全智能。

什么是安全智能&＃xff1f;Gartner的报告《Prepare for the Emergence of Enterprise Security Intelligence》中认为&＃xff1a;企业安全智能包括对企业的IT系统中所有跟安全相关的数据的收集&＃xff0c;以及安全团队的知识和技能的运用&＃xff0c;从而达成风险消减的目的。

这份报告有很多具有指导性的调查结论&＃xff0c;这里&＃xff0c;我列举部分信息&＃xff1a;

要识别***&＃xff0c;还是要收集更多的数据&＃xff0c;尤其是情境数据。

日志管理和SIEM产品依然是当前的安全分析工具首选。用到了hadoop和NoSQL的人都少于10%。

用户未来在安全分析的投资依然会集中在SIEM和LM上&＃xff0c;同时&＃xff0c;对于人的技能培养都很看重。

的确&＃xff0c;正如我一直所说的&＃xff0c;安全分析&＃xff0c;或者说传统的SIEM/LM的使用&＃xff0c;很大程度上依赖于使用者的技能&＃xff0c;否则再好的扫帚恐也扫不净房间。

【参考】

SANS&＃xff1a;2012年度日志管理调查报告

SANS&＃xff1a;2011年度日志管理调查报告

SANS&＃xff1a;2010年度日志管理调查报告