2016年12月6日，SANS发布了第4期（2016年度）安全分析调研报告。报告对全球348名受访者进行了调研。结果显示，38%的人用安全分析来评估风险，35%的人用安全分析来识别恶意行为，31%的人用来实现合规。这也是安全分析最常用的三个场景。安全分析自动化不足的问题依然没有多大改观，和上次调研相比，依然仅有4%的人认为自己完全最到了安全分析自动化，仅有22%的人使用了机器学习相关的工具来参与安全分析。

1、数据收集的范围

首先是应用日志（包括应用的审计日志），第二是网络FW/IDS/IPS/UTM设备日志，第三是漏扫/配置核查/补丁管理结果，第四是端点保护系统的日志，再往后还有主机反恶意代码系统（AV）日志，Whois，DNS日志，情报数据，包检测数据，用户行为监测数据，身份数据，数据库日志，沙箱日志，云安全日志，大数据系统日志，等等。

2、威胁情报的收集与集成

首选的用SIEM来收集情报，并将情报与各种数据进行关联。其次是用自己开发的系统来做。

3、安全分析过程的自动化

认为完全自动化了的只有3.6%，差不多自动化了的有53.7%，根本没有自动化的有22.1%，还有10.5%的人不知道是否做到了自动化（也基本可以视作没有自动化）。

4、是否发生过数据泄漏

65%的人都表示过去两年内自己单位发生过需要处置的数据泄漏事件。表示没有发生过的占17%。

5、响应速度

整体上好于去年。62%的人表示最快可以在被攻陷后1天之内就检测出来，而仅有5%的人最长需要超过10个月才能发现自己已经被攻陷。

6、报警机制

针对信息泄漏和破坏事件的触发来源，终端监测软件的报警是最多的方式，其次是依靠SIEM的自动化告警，以及其他分析系统的自动化告警，再往后是依靠边界防御设备的告警，第三方供应商的告警，客户发起的报告。

7、安全分析的短板

最主要的三个短板依次是：缺乏分析技能（也就是缺人，并且是高水平的人）、缺乏预算和资源、难以进行行为建模和检测不出异常、缺乏对网络流量和日志的可视性。简言之，分析工具再NB，没有分析人员也白给！

8、安全分析工作的频度

在防护、检测和响应阶段，安全分析都占据了很长的时间比，说明安全分析占据了安全运维工作的重要角色。

9、安全分析最有价值的场景

依次是评估风险、识别可疑或者恶意的用户行为、合规监测与管理、检测外部恶意威胁、提升对网络和端点行为的可视性、检测内部威胁，等等。

10、可量化的改进

有44%的受访者表示他们通过安全分析工具能够获得可量化的改进和提升。

11、对自身安全分析能力的满意度

16.1%人对于提升检测速度表示十分满意，54.1%的人对于性能、响应时间、查询速度表示满意，40.9%的人对预测和阻止未知威胁表示不满意，45.5%的人对于“知彼”能力很不满意。

12、大数据安全分析和安全分析的区别

还有48.2%的人认为二者没有本质区别，但有34%的人认为二者有区别，主要体现在分析流程和工具的差异化上。SANS认为将这两者区分开来标志着对安全分析的深入理解。

13、未来在安全分析领域的投资方向

跟去年的调研类似，第一位的是人员和培训，有49%的人投给了人和培训。接下来，42%的人投给了检测和SOC升级；29%的投给了事件响应（IR）集成；再往后是SIEM工具和系统，以及大数据分析引擎和工具。有趣的是安全情报产品工具和服务从去年的43%降低到了今年的18%，SANS估计是因为组织当前更加注重内部数据的收集，多过依赖第三方产品和服务。

小结：更多的组织和单位开始使用安全分析，我们收集的数据越来越多，也越来越好，但最大的问题还不能很好地利用这些数据来进行检测与响应。尽管我们可以更快地发现未知威胁，但是我们依然没能很好地划定威胁优先级、集中的修复和汇报，以及建立正常的行为模型从而标记出异常。导致如此的原因之一就在于长期缺乏SOC运维的技能，以及管理上和资金上的支撑。

Utilization of security analytics is slowly improving, and we’ve done a much better job of collecting data, but more effort is needed to detect, respond and report results using analytics before we can say we’re really maturing in this space.

【参考】