最近,在研究安全响应相关领域的内容。刚好在10月底,SANS发布了一份2018年度的事件响应(IR)调查报告,重点针对美国的中大型用户现状进行了一番调研分析。在这份题为《It's Awfully Noisy Out There: Results of the 2018 SANS Incident Response Survey》的报告中,SANS发现IR团队应对严重泄露事件的响应速度比去年有所提升,但仍然面临多重挑战。

首先,报告给出了受访者在过去12个月内发生的安全事件数量的分布情况:

image.png

安全事件发生的中位数在25次左右。

同时,对安全事件进行响应的情况如下:

image.png

可以看出,从发现安全事件到响应安全事件存在一个落差。

但是,调查没有分析按照安全事件类型划分的事件分布情况。事实上,对于如何划分安全事件类型本身就是一个值得斟酌的问题。作为参考,我在《爱因斯坦计划最新进展(201710)》一文中给出了美国NCCIC的划分统计方式,他们给出了一种按照***向量的划分依据。

图片.png

接下来,SANS分析了安全事件中演化为数据泄露事件的情况。很显然,SANS认为Incident和breach是两个有关联但不同的概念。这点上,SANS跟Verizon的DBIR报告的观点是一致的。下面是DBIR2018报告中给出的定义:

image.png

回到SANS的报告,安全事件演化为数据泄露事件的分布情况如下图所示:

image.png

有31.4%的受访者表示Incident没有导致数据泄露,而有54%的受访者则表示则导致了。可见数据泄露依然属于安全事件中较为严重的问题。

接下来,SANS分析了导致数据泄露的技术途径(Components,或者叫Technical Tactics):

image.png

可以看到,首要的原因是恶意代码感染(62%),其次是非授权访问(51%)、敏感数据窃取(43%)、APT***(35%)、内部泄露(30%)、非法提权的内部横移、破坏性***、数据完整性***、DDoS。

对照一下DBIR2018则将数据泄露的技战术划分为:以数据泄露为目标的******(48%)、恶意代码(30%)、错误或者意外事故(17%)、社会工程学***(17%)、特权滥用(12%)、物理***(11%)。如下:

image.png

可以发现,大家的划分内容还是有很多不同的。SANS更细更偏技术一些,而DIBR则更宏观更全面一些。

SANS认为IR流程分为6个部分:准备、识别、遏制、修复/升级、恢复、总结。而整个流程中最重要的三个度量指标分别是:检测时长(从失陷到识别出失陷)、遏制时长(从发现问题到遏制问题)、修复时长(从遏制问题到修复问题)。【注:我给出的一个定义:检测时长+遏制时长 = 止损时长】

根据SANS的调查发现,2018年,大部分泄露事件的检测时长在24小时之内,超过6成的受访者能在24小时之内完成遏制,75%的能够在1周内完成修复,均好于去年。

image.png

SANS的调查还显示,在发生数据泄露后,定位失陷系统和失陷用户是相对比较容易的。定位泄露的数据,搞清楚到底哪些数据泄露了,则相对比较困难一些,却也还能做到。而定位***源(Threat Actors),搞清楚***者细节则相对困难,40%受访者表示做不到。


SANS认为,IR应该跟SOC整合到一起,这是未来发展大势。现实情况中,IR和SOC分离的占23%。


对于未来,SANS发现,要继续搞好IR工作,最大的挑战在于人员技能短缺、工具和技术的预算不足、以及流程问题。而在被问及未来12个月主要打算做哪些投入的时候,受访者们提及的计划依次包括:培训、修复流程自动化、主动的威胁猎捕、改进IR计划和流程、自动化响应和修复工作流、进行IR桌面推演、借助SIEM实现更多更自动化的分析和报告。此外还包括提升安全分析与关联能力、集成TI、加强漏管,等等。

image.png