SANS：2013年度安全分析（日志管理）调查报告

2013年9月份，SANS发布了2013年度的日志管理调查报告。今年的报告改名为安全分析调查（Security Analytics Surevey）。这次的调查之所以改名，是因为此次SANS将调查的内容聚焦到了大数据库分析上。这也进一步说明了SIEM/LM与BDA之间的密切关系。的确，正如SANS所述，在谈到安全的大数据分析，人们一般都会首先将注意力放到SIEM/LM产品及工具上。而SIEM/LM也是最积极拥抱大数据分析的产品和技术。

SANS认为，一般的BDA架构包括两个基础性技术：分布式程序框架和非关系型数据存储。然而，在SIEM平台，并非绝对，除了上述两个基础性技术，现在还有很多其他的架构选择，依然能够更快更精准地采集和处理天量数据。正如调查报告显示的，调查表明大部分用户仍然在观望采用诸如hadoop技术的安全分析工具，同时更多地借助现有SIEM/LM产品架构来尝试安全大数据分析。

什么是安全分析？可以看作是下一代的SIEM/LM技术，通常包括：更广泛的安全事件类型的采集，不仅是现在的软硬件资产的日志信息；更有效的关联分析，包括情境关联和关联规则发现；更加前摄性的和更加具有指导性的分析，包括对下一步的预测分析和对已发生事件根本原因分析；更大范围内的分析，尤指安全智能。

什么是安全智能？Gartner的报告《Prepare for the Emergence of Enterprise Security Intelligence》中认为：企业安全智能包括对企业的IT系统中所有跟安全相关的数据的收集，以及安全团队的知识和技能的运用，从而达成风险消减的目的。

这份报告有很多具有指导性的调查结论，这里，我列举部分信息：

要识别攻击，还是要收集更多的数据，尤其是情境数据。

日志管理和SIEM产品依然是当前的安全分析工具首选。用到了hadoop和NoSQL的人都少于10%。

用户未来在安全分析的投资依然会集中在SIEM和LM上，同时，对于人的技能培养都很看重。

的确，正如我一直所说的，安全分析，或者说传统的SIEM/LM的使用，很大程度上依赖于使用者的技能，否则再好的扫帚恐也扫不净房间。

【参考】

SANS：2012年度日志管理调查报告

SANS：2011年度日志管理调查报告

SANS：2010年度日志管理调查报告