专栏首页网络安全观SANS:2020年自动化与集成调查报告

SANS:2020年自动化与集成调查报告

2020年5月,SANS发布了2020年度(也是第二次)自动化与集成的调研报告。

这次的报告的受访者相较于去年翻番还多,参与者更加踊跃。同时,受访者更多是一线运维人员,管理层人员有所减少,因此报告调研结果更接地气

报告显示,用户对安全自动化与集成的兴趣日益浓厚,加大了这方面的投入和预算,以期通过改进的流程来提升运维人员和组织的效率

整体来说,SANS开启自动化与集成的调研,目的在于回答以下三个问题

1)你的单位跟上当前威胁发展的形势了吗?

2)你的单位依然靠手工流程来运维/运行/运营吗?

3)你的单位还在因为缺少资源、工具和预算而挣扎吗?

针对2020年的调研,SANS还着重聚焦了另外两个问题:

1)自动化和集成对改进安全运维起了多大帮助作用

2)如果没有,那么该怎么办?理想和现实的差距有多大?如何弥合这个差距?

为此,在2020年的调研问卷中,SANS新增了12个问题,并设计了更多的主观题(开放式回答,而非选择题)。

通过与2019年的报告对比分析,SANS形成了如下关键发现

1)采用了专门的安全自动化工具的客户比上一年增长了11.8%,预算也增长了3~10%;

2)相较于过去的项目,用户对现在的自动化与集成项目的信心普遍下降;

3)用户越来越重视提升安全运营的项目,而非部署FW或者IDS;

4)自动化不会减少对人的需求,相反还有增加的需求;

5)自动化的预算更多了;

6)SecOps和IR的自动化越来越受到关注。

【笔者注:观察国内市场,其实也可以发现一些端倪,随着大规模网络空间安全基建的逐步到位,以及人们对于对抗和实战化的日益重视,安全运营(SecOps),包括安全响应必然越来越受到客户的重视;安全平台类系统的需求会越来越多,客户会逐渐从如何买好向如何用好转变;未来衡量安全建设水平的高低不是用了多少技术和产品,而是如何将这些技术和产品用起来的。】

这次的调研再次回顾了安全自动化的演进历史。从两次的报告可以看出,SANS的自动化和集成是一个更加宽泛的概念,并非跟SOAR的自动化范畴相对应。安全领域自动化其实很早就有了,SIEM的采集和分析属于SANS的自动化范畴,NAC的准入研判也属于SANS的自动化范畴

笔者将SOAR中的自动化称作安全编排的自动化执行,是安全自动化的一个子集

SANS再次重申了对于编排集成自动化三个概念的定义。笔者在2019年SANS报告分析中进行了介绍,在此不再赘述。这里只是再次强调一下自动化不是完全的自动化,而是尽可能的自动化。根据笔者的理解,Automation不等于Automated,Automated是自动化了的,而Automation是使什么向自动迈进

1、安全自动化程度

通过两年对比,可以发现企业和组织的安全自动化水平总体上在不断提升(中等水平和高水平自动化比重提升,无自动化受访者减少),如下图:

进一步地,SANS分析了三个核心领域的自动化水平。SANS认为安全运行和事件及告警处理、IR处理、弱点处置(SANS称作阻断网络安全暴露)是安全自动化的三个重点目标

可以发现,从中高级程度自动化水平线来看,目前,安全运行的自动化水平相对最高,其次是弱点处理,再次是IR处理

这也说明,目前对于安全运营团队(secops teams)而言,安全事件和告警处理依然是工作重点,他们希望通过自动化技术来消除告警疲劳的困扰,让团队的人员工作更加聚焦于有价值的工作和更高难度的工作。

笔者稍感疑惑的是上述三个核心领域的自动化水平评估与总体水平评估的数据是怎么关联的?不过这不影响我们的结论。

2、如何落地自动化技术?

由上图可知,与上次调研相比,没有使用自动化或编排工具的用户减少了11%,说明更多的用户在使用各种方式落地自动化技术。同时,投资于特定自动化工具的用户增加了12%,说明安全自动化产品市场在兴起。此外,自建方式落地自动化技术的用户在减少(降低了5.5%),也说明了这个领域技术的迅速发展(但还不够成熟)。

3、自动化对人的影响

这个问题去年的调研也做过,但是调研问题有所不同。不过,两次调研都说明了同一个事实,即:安全自动化没有取代人,而是对人进行赋能和助力,甚至还需要增加人员

报告显示,仅有5%的受访者预计自动化项目会导致人员减少,有49.4%的受访者预期自动化和集成项目会提升人的效率。此外,64%的受访者表示自动化项目和单位人员变化无关联。

4、自动化对流程的影响

2020年SANS重新设计了这个问题,设定了14类关键的安全运维活动和服务(流程),通过问卷获悉每种活动的自动化程度以及落地自动化的进展情况。

针对上图,可以重点关注两头。从上看,可以发现自动化水平高的活动是入侵检测、弱点管理、数据保护与监测。从下看 ,BAS(泄露与攻击模拟)、取证、威胁猎捕的自动化水平相对较低,这符合这些技术本身的发展成熟度和对人的依赖程度。

上图显示了不同活动(流程)自动化所处的主要阶段入侵检测、弱点管理和平台健康监控是目前已经落地自动化技术程度最高的从实施(Implementing)阶段来看,占比高的是IR、网络威胁集成、资产管理。从规划阶段(未来12个月内)看,占比高的还是IR。

总之,笔者认为,未来几年内IR是自动化的热点,这也符合人们对于SOAR的定位和预期。

5、自动化对技术工具的影响

这个调研2019年的也做过,因此可以对照着来看。

下图是2020年的调查结果:

下图是2019年的调查结果:

可以发现,两次结果差别不大。总的来说,当前自动化系统中使用最多的还是安全设备告警、SIEM关联分析,EDR、日志分析

6、客户对未来上马自动化项目的规划

SANS调研显示,15%的受访者表示来年不计划做安全运行或者IR流程的自动化。这15%的受访者中有三分之一表示不做的原因是预算问题。而大部分(58%)受访者表示来年计划对关键的安全运行或者IR流程进行自动化。针对这些人,SANS认为:凡事预则立,不预则废。因此,SANS提出了一个自动化项目的规划建议。

1)确定什么需要自动化?哪些地方可以通过自动化来改进?譬如:

  • 重复性活动
  • 人工处理容易出错的流程
  • 涉及跨系统间数据一致性维持的流程
  • 各种形式的重复性检索类操作

2)整理自动化需求,将需要自动化的流程进行解构,厘清需要自动化的任务(活动)

3)向过去学习。充分吸取过去项目和别人项目的经验。

4)充满信心地规划未来。

7、上马安全自动化的的基本需求

由上图可知,首要的需求是让安全运维相关的工作流和策略执行实现自动化(56%),其次是提升威胁调查的速度和质量(47%),再次是更高效的事件关联(43%)

SANS表示,排名前三的需求都直接跟告警和事件处理相关。其次,所有需求都涉及让分析师有更好的可见性,为事件处置提供更多的上下文/情境信息,减少告警疲劳

笔者发现,在谈到未来的时候,人们更多关注IR自动化;但在谈到当下的时候,人们更关心告警分诊自动化。这跟笔者之前的判定是一致的。因此,我们的SOAR产品有两个核心应用场景,第一个就是告警分诊,第二个是基于案件管理的IR

8、安全自动化给secops和IR团队带来的价值点的满意度评估

2019年,SANS投票选出了用户认为安全自动化的价值点排序。2020年SANS对这些价值点的达成情况进行了满意度评估。从评估来看,跟当初的预期还是有些不同的。SANS希望通过这个预期和实际的对比,来帮助用户调整心态,通过对过去的经验教训总结,树立一个靠谱的预期和相关价值点。

满意度排名前四的价值点是:提升可见性、告警监测与分级、减低检测/响应和修复的时间、提升团队成员在处理事件过程中的协同性。SANS认为,这个结果表明“组织已成功使用自动化和集成项目来更好地利用其安全设备(从而改善了ROI状况)并进行了必要的改进”。

对比下图是2019年的预期价值点排序:

可以看到,实际满意度跟预期是有差别的。当初对于提升secops团队协同性是没有太高预期的(33%),但实际上自动化在这方面的表现挺好。此外,当初对于减少告警疲劳还是有所期待的(55%),但实际上自动化在这方面的帮助并不好(41%,排在最后)。

此外,SANS针对满意度调查还提出了一个开放式问题,让受访者谈谈自己对于如何做好安全自动化与集成项目的感受。SANS对这些回复进行了总结,归纳为三个方面:

1)要对自动化保持积极的心态;

2)要重视用例;

3)保持对自动化的需求。

下图显示了2020年度的对自动化与集成的价值点的预期程度排序,以及这个预期跟2020年度实际满意度的对比。这个对比其实也可以看作是对未来的和对现实的对比。

笔者需要指出的是,SANS的上图图例写错了。红色的应该是满意度,绿色的才是信心。

对比图中值得一提的是“提升对安全运行活动的优先级分级”,以及“利用好现有的安全工具”。这个预期与现实的差距比较大

此外,在信心最不足的几个价值点中,需要关注“消减告警疲劳”和“厘清流程与流程的Owner”两个问题。无论是现实还是预期,这两点都不高。SANS认为这两点其实很关键,也是困扰SOC发展的两个障碍

9、自动化效果的度量指标

下图显示了受访者对于IR自动化与集成的指标喜好:

上图呈现了两个最有价值且在使用的指标:通过监测程序识别出来的事件数量,以及事件影响的端点数量。这有点超乎笔者的想象。因为像MTTD和MTTR这类指标是我们耳熟能详的高价值指标,但实际上使用的受访者占比不到50%。SANS给出的解释是这类指标计算比较困难

比较有争议的指标是:每个安全分析师处理的事件数量。

10、安全自动化与集成的预算

报告显示,2020年的安全自动化与集成预算相较于去年有明显的增长。增长幅度主要集中在3-4%和7-10%之间。同时,预测未来一年的增长更可观,有16.4%的受访者表示未来1年将会有超过10%的涨幅。

11、实施安全自动化与集成项目的风险

对照去年的调查结果,可以发现预算风险不再是突出风险,而其他风险的认同度都有所下降。

12、总结

1)实现自动化需要前期投入如果你是第一次开展自动化项目,要小心谨慎,用渐进式的方式去取得成功,避免复杂项目,基于现有条件和约束下去开展项目,少做定制开发

2)不断缩小新项目和老项目之间的满意度差距。要搞清楚为什么相似的项目在同行间的满意度会有差异。

3)但凡可能,采用标准的集成接口,譬如JSON标准。

4)认真思考如何度量自动化项目,要设计出具体的、可落地的度量指标。

以下补充几点笔者个人的感悟

1)安全自动化一直是安全所追求的,这个不算热点热点是安全编排的自动化执行,安全响应的应用化、编排化、剧本化、知识化

2)国外SOAR已经发展了几年的,虽仍为成熟,但却积累了不少经验和教训,值得国内的客户方和平台/服务供给方参考借鉴。很关键的一点就是还是要聚焦于解决告警疲劳问题,其次是响应自动化的问题

3)SOAR是面向安全运营(secops)的产品,因此必须是实战化的,能解决实际问题的,其价值点是以效果来衡量的,建立度量指标很重要。

4)尽管未来很光明,但现在要慎重。甲方上马项目要认真思考,要做好为前期探索进行更多投入的准备,从失败中成长的准备。乙方也要认真思考,选择合适的技术路线,靠谱的需求和能够共同成长的客户,要对客户诚恳些,不要勉强。

参考

SANS:2019年自动化与集成调查报告

安全编排自动化与响应(SOAR)技术解析

Ponemon调研报告揭示安全自动化和AI的价值定位以及与人的关系

SANS最新报告

SANS:2019年自动化与集成调查报告

SANS:2019年事件响应调查报告

SANS:2020年网络威胁情报现状调研报告

SANS 2019年SOC调查报告解读

SANS:AI让安全更聪明

本文分享自微信公众号 - 网络安全观(SecurityInsights),作者:Benny Ye

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-05-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 威胁情报的现在与未来:赋能、深入、全面应用

    今年是网络安全大年,也是威胁情报的大年。RSA大会上,威胁情报也上升至热词榜第七位。国内外多家组织机构已经发布各式威胁情报报告,例如全球权威信息化咨询研究机构G...

    FB客服
  • 威胁情报分享是SOC的“回春药”

    在本月初举行的 “奇智威胁情报峰会” 上,包括华泰证券、国家电网、建设银行、国家互联网应急中心的威胁情报负责人指出了安全运营的一个共同痛点:威胁情报分享难!威胁...

    网络安全观
  • RSA大会趋势聚焦:最危险的新型攻击手段

    SANS研究所的研究员兼主任Ed Skoudis指出,破坏软件完整性是他在如今看到的最大攻击载体之一。软件完整性包括构成现代应用程序的所有嵌入式库和组件的供应链...

    FB客服
  • Kubeless 函数部署遇到了问题,如何 Debug? | 玩转 Kubeless

    2020年9月,Coding Sans 联合其9个合作伙伴,发布了 Serverless 2020 年度状态报告。

    donghui
  • Python技术周刊:第 21 期

    欢迎来到《Python技术周刊》这是第21期,每周六发布,让我们直接进入本周的内容。由于微信不允许外部链接,你需要点击页尾左下角”阅读原文“,才能访问文中的链接...

    TalkPython
  • 企业安全负责人新挑战:如何实现最高性价比的安全投入?

    根据世界卫生组织的统计——2020年新冠疫情期间,全球网络攻击增加了5倍。后疫情时代,衍生于新场景、新业态下的新安全威胁,正在考验着企业的安全技术、团队和能力储...

    腾讯安全
  • 云迁移面临遗留安全工具挑战

    专为数据中心设计的传统安全工具是无法在云环境中正常运行的。根据安全管理人员的说法,这需要新的方法。本文讲述了企业该如何在夹缝中生存。 与众多企业一样,Fenwi...

    静一
  • 网络安全防护行业最酷工作前20排名出炉

    未来几年,信息安全是IT市场为数不多的能够保持20%以上高增长率,35岁不会裁员的潜力股,对各个领域的资本和人才极具吸引力。然而,信息安全人才市场的人才短缺仍在...

    技术分享达人
  • 斯坦福连续发了四年的AI报告,今年讲了什么?

    由斯坦福大学发起的人工智能指数(AI Index)是一个追踪 AI 动态和进展的非营利性项目,旨在全面研究 AI 行业状况,旨在促进基于数据的 AI 广泛交流和...

    机器之心
  • 您有一份开发者调查问卷代签收~

    过去的2020年对于各行业来说,都是极为特殊的一年。疫情导致了全球大部分活动停摆,各行各业都受到疫情的冲击。

    VRPinea
  • BI Intelligence 报告:2016 年 5 大数字化趋势

    【新智元导读】Business Insider 网站日前公开了旗下调研团队 BI Intelligence 去年 2 月发布的调查报告,成功预测了消息APP成为...

    新智元
  • 调查问卷 | 2020 年中国云原生用户调研,邀您参与!

    导语:为进一步了解我国云原生产业发展全貌,腾讯云联合中国信息通信研究所共同启动 2020 年《中国云原生用户调查报告》的征集活动,诚邀业界同仁参与本次调研。 ...

    腾讯云serverless团队
  • Malwarebytes Labs发布2020年恶意软件威胁态势报告

    想必安全行业内的从业人员都知道,每年2月份的第二个星期二,是国际互联网安全日。那么对于我们这些安全研究人员来说,除了对最新型恶意软件、漏洞利用PoC、PUP、网...

    FB客服
  • 自动的自动化框架EvoSuite集成Cobertura得到可视化的代码覆盖报告

    EvoSuite是由Sheffield等大学联合开发的一种开源工具,用于自动生成测试用例集,生成的测试用例均符合Junit的标准,可直接在Junit中运行。得到...

    Criss@陈磊
  • 调查问卷 | 2020年中国云原生用户调研,邀您参与!

    ? 导语:为进一步了解我国云原生产业发展全貌,腾讯云联合中国信息通信研究所共同启动2020年《中国云原生用户调查报告》的征集活动,诚邀业界同仁参与本次调研。 ...

    腾讯云中间件团队
  • 《2020年软件质量调查报告》六大看点

      由WeTest联合软件质量报道公众号进行的2020年国内软件质量调查在去年年底结束,目前《2020年软件质量调查报告》(PDF版本)已经发送给每一位参加调...

    WeTest质量开放平台团队
  • SIEM是什么?它是怎么运作的?又该如何选择正确的工具?

    安全信息与事件管理(SIEM)源于日志管理,但早已演变得比事件管理强大许多,今天的SIEM软件提供商还引入了机器学习、高级统计分析和其他分析方法。 ? SIEM...

    企鹅号小编
  • 深入解读Gartner 2021年《分析与BI平台魔力象限》

    近日,Gartner发布了2020年度的BI商业智能和分析平台魔力象限报告(《Magic Quadrant for Analytics and Business...

    大数据分析不是事儿
  • 惊!RSA会议注册信息泄露?

    RSA会议进展到第五天,议题精彩不断,沟通讨论部分内容逐渐增加,但线上也发生了意料之外的“波折”。

    安恒信息

扫码关注云+社区

领取腾讯云代金券