安全分析与安全智能调研参考报告

1、安全分析与安全智能调研参考报告20XX年10月份，紧接着20XX年度日志治理调研报告（Log management survey），SANS又发布了20XX年度的平安分析与智能调研报告（Analytics and Intelligence Survey 20XX）。SANS认为，平安分析与日志治理逐步分开了，当下主流的SIEM/安管平台厂商将目光更多地聚焦到了平安分析和平安智能上，以实现所谓的下一代SIEM/安管平台。而平安分析和平安智能那么跟BDA（大数据分析）更加亲密相关。SANS对平安智能的定义采纳了Gartner的定义。而平安智能（Security Intelligence）这个词的最

2、早定义就来自于Gartner的Fellow约瑟夫。费曼（2010年的报告预备企业平安智能的兴起）。这，在2020年的日志分析调查报告中明确指出来了：企业平安智能包括对企业的IT系统中所有跟平安相关的数据的搜集，以及平安团队的知识和技能的运用，从而达成风险消减的目的。今年，SANS对平安分析（Security Analytics，或者叫平安数据分析，数据分析）给出了一个本人的定义：近年来，劳动密集型企业的消费车间、仓库等火灾频繁发生，使国家和人民群众生命财产遭受严重损失，情势十分严峻。如何抓好劳动密集型企业的消防平安工作，是摆在我们面前的一个重要课题。The discovery （through

3、 various analysis techniques） and communication （such as through visualization） of meaningful patterns or intelligence in data。【对数据中有意义的形式或者情报（通过多种分析技术）进展发觉和沟通（例如通过可视化方式）】SANS还追溯了一下平安分析的起源，事实上早在1986年就正式出现了。从最早的IDS，到后来的SIEM，再到如今的平安智能，构成了一条平安分析的开展时间线。关于平安智能，SANS做了一个脚注，确实是平安智能不是自动化的机器智能，还需要训练有素平安分析师的参与

4、。从业人员素养低，技术力量薄弱，效率低下，不具备市场竞争才能，产质量量保证才能严峻缺乏，给食品平安带来严峻的平安隐患。报告中，SANS还给威胁情报下了一个定义：Threat intelligence is the set of data collected， assessed and applied regarding security threats， malicious actors， exploits， malware， vulnerabilities and compromise indicators。【注：平安智能跟平安/威胁情报中都有一个一样的英文Intelligence，但是含义

5、依然有所区别的】SANS对350位IT专业人士进展了调查咨询卷。报告显示：1）有47%的用户仍然投资在SIEM上，通过加强的SIEM获得平安分析的才能；2）27%的用户将内部威胁情报关联应用于SIEM；3）61%的用户认为大数据将在平安分析中扮演必不可少角色（36%认为大数据扮演关键角色，25%认为大数据是必要的，但不是最关键的）；4）47%的用户认为他们的情报和分析实践初步实现了自动化。各单位按照教育局的统一要求，对校舍平安、饮食平安、交通平安、防汛平安等进展了拉网式的大检查，发觉咨询题，及时整改，保证了师生的平安。将消防宣传融入文化、科技、卫生“三下乡”活动中，开展贴近实际、贴近生活、富有

6、实效的消防法律法规和消防知识宣传教育。SANS进展了多项有针对性的调查。其中，“攻击检测与响应的障碍”首当其冲的是缺乏对应用、以及支撑的系统和脆弱性的可见性（39。1%）；排在第二的障碍是难以理解和标识正常行为，进而导致无法识别异常行为；排在第三位的是缺乏训练有素的人；排在第四位的是不明白哪些是关键的需要采集的信息，以及如何进展关联。在咨询及“平安分析人员主要看什么系统产生的日志”时，57%的人选择了传统的边界防备设备（FW/IDP）产生的告警；42%的人选择了终端监测系统的告警（譬如防病毒）。此外，有37%的人选择了“SIEM的自动化告警”，还有32%的人选择了通过SIEM/LM去进展事件分

7、析，并手工产生告警。SANS认为，调查结果说明下一代的SIEM具备自动化分析和智能告警的才能。在咨询及“实现平安智能需要跟哪些检测技术交互”时，几乎各种检测技术都有涉及，印证了平安智能的技术交互的广泛性。在目前，主要交互（对接）的是FW/UTM/IDP、破绽治理、基于主机的恶意代码分析（终端防病毒）、SIEM、LM。在将来，打算要交互的主要是基于网络的恶意代码分析（沙箱）、NAC、用户行为监控。在咨询及“对当前平安分析才能的满意度”时，最满意的是分析的功能与响应时间，最不满意的是平安分析的可见性，分析师的培训以及分析师的紧缺排在最不满意的第三位。由于业主多且分散，在公共场地的使用、车辆的停放、

8、物业公司的效劳质量等方面业主与物业之间非常容易引起矛盾，造成双方产生不信任和纠纷的情形，加上传统的“主仆”观念妨碍，物业治理处于被动弱势地位，导致物业治理费用不能及时收取。同时现有法律对建筑大修理基金的收取、保管、使用等方面的规定，要求维修基金的使用由售房单位或受托的物业治理企业作为施行单位，提出年度使用打算及分工程维修经费预算报告书，经业主委员会审核，房地产行政治理部门审批后方可将维修基金分批拨付施行单位，其操作程序复杂，非常少有物业单位有决心和耐心去申请和使用这笔经费，致使包括消防设备在内的公共设备维护保养经费的使用得不到有效保障。所以，还有另一个重要的缘故是：我们的社会群众还没认识到美术思维重要性，总觉得是副科，是兴趣爱好，但我想一个拥有艺术涵养明白得用创意思维来想事情看咨询题的人比一千个只明白背书本的人都强！我不明白我国的这种场面什么时候能改变，或许几十年又或许几百年但这改变绝不是一个两个人就能做到的，或许等下次迸发思想的革命运动的时候我们的这个梦想该实现的时候了！我追着梦想，等待着这一天的到来！在咨询及“应用平安分析最有价值的作用”是什么时，首选最高的是