2014年10月份，紧接着2014年度日志管理调研报告（Log management survey），SANS又发布了2014年度的安全分析与智能调研报告（Analytics and Intelligence Survey 2014）。

正如我之前博客所述，SANS认为安全分析与日志管理逐渐分开了，当下主流的SIEM/安管平台厂商将目光更多地聚焦到了安全分析和安全智能上，以实现所谓的下一代SIEM/安管平台。而安全分析和安全智能则跟BDA（大数据分析）更加密切相关。

SANS对安全智能的定义采纳了Gartner的定义。而安全智能（Security Intelligence）这个词的最早定义就来自于Gartner的Fellow——约瑟夫.费曼（2010年的报告——《准备企业安全智能的兴起》）。这，在2013年的日志分析调查报告中明确指出来了。

今年，SANS对安全分析（Security Analytics，或者叫安全数据分析，数据分析）给出了一个自己的定义：

The discovery (through various analysis techniques) and communication (such as through visualization) of meaningful patterns or intelligence in data.

SANS还追溯了一下安全分析的起源，其实早在1986年就正式出现了。从最早的IDS，到后来的SIEM，再到现在的安全智能，形成了一条安全分析的发展时间线。

关于安全智能，SANS做了一个脚注，就是安全智能不是自动化的机器智能，还需要训练有素安全分析师的参与。【好吧，正如我之前反复强调的那样】

报告中，SANS还给威胁情报下了一个定义：Threat intelligence is the set of data collected,  assessed and applied regarding security threats, malicious actors, exploits, malware,  vulnerabilities and compromise indicators.

【注：安全智能跟安全/威胁情报中都有一个相同的英文Intelligence，但是含义还是有所区别的，我之前博客已经辨析过，后续还会再为大家梳理一下。】

SANS对350位IT专业人士进行了调查问卷。报告显示【我摘录我关注的内容，而不是全部内容，请见谅】：

1）有47%的用户依然投资在SIEM上，通过增强的SIEM获得安全分析的能力；

2）27%的用户将内部威胁情报关联应用于SIEM；

3）61%的用户认为大数据将在安全分析中扮演必不可少角色（36%认为大数据扮演关键角色，25%认为大数据是必要的，但不是最关键的）；

4）47%的用户认为他们的情报和分析实践初步实现了自动化；

SANS进行了多项有针对性的调查。其中，“***检测与响应的障碍”首当其冲的是缺乏对应用、以及支撑的系统和脆弱性的可见性（39.1%）；排在第二的障碍是难以理解和标识正常行为，进而导致无法识别异常行为；排在第三位的是缺乏训练有素的人；排在第四位的是不知道哪些是关键的需要采集的信息，以及如何进行关联。【想想，国内也差不多啊，而且应该更严重】

在问及“安全分析人员主要看什么系统产生的日志”时，57%的人选择了传统的边界防御设备（FW/IDP）产生的告警；42%的人选择了终端监测系统的告警（譬如防病毒）。此外，有37%的人选择了“SIEM的自动化告警”，还有32%的人选择了通过SIEM/LM去进行事件分析，并手工产生告警。SANS认为，调查结果表明下一代的SIEM具备自动化分析和智能告警的能力。

在问及“实现安全智能需要跟哪些检测技术交互”时，几乎各种检测技术都有涉及，印证了安全智能的技术交互的广泛性。在目前，主要交互（对接）的是FW/UTM/IDP、漏洞管理、基于主机的恶意代码分析（终端防病毒）、SIEM、LM。在未来，计划要交互的主要是基于网络的恶意代码分析（沙箱）、NAC、用户行为监控、

在问及“对当前安全分析能力的满意度”时，最满意的是分析的性能与响应时间，最不满意的是安全分析的可见性，分析师的培训以及分析师的紧缺排在最不满意的第三位。

在问及“应用安全分析最有价值的作用”是什么时，首选最高的是发现未知威胁，次选最高的是检测内部威胁，第三选择最高的是降低错报。

在问及“未来对安全分析/智能的投资”领域时，67%的受访者选择了培训/人员，其次是事故响应能力，第三是SIEM（47%）。此外，选择基于网络包的分析、用户行为监控、情报、大数据分析引擎的人都超过了20%

【参考】

SANS：2014年日志管理调查报告

SANS：2013年度安全分析调查报告