整合预防、检测和响应工作流：SANS安全优化调查

摘要

2014年，Gartner提出了一个有关网络威胁和漏洞的安全架构，其中包括四个部分- 预防、检测、响应和预测 -形成闭环。其他组织也提出了类似的架构，诸如CIS Critical Security Controls等指南提供了相对应的详细实践。该模型最常见是从预防（包括漏洞管理）开始，然后检测（使用恶意软件和威胁分析，防火墙等），然后响应实践，然后结合情报（预测/再利用）来结束循环。

组织基于模型实现其功能，因此SANS做了一次调查，以评估组织如何实施：这些功能组是否与共享数据和工作流程一致，或者多数技术团队是否符合传统运营？

为进行这项调查，我们将Gartner的“预测”部分改为“情报”，我们还在“响应”活动之后添加了“修复”功能。

64％的受访者认为，安全操作和响应功能之间缺乏自动化/集成和工作流程，影响了防范、检测和应对威胁的能力。只有15％受访者表示，缺少自动化和功能之间的整合，并不会影响到防范、发现、应对和修复的能力。

调查显示，需要集中访问安全性和运营数据，以提高可见性和工作流，只有17％的受访者表示其工作流和可见性完全或大部分是自动化和集成的。

尽管集成度较低，但大部分受访者并否认汇集安全资源和功能的价值。63％的受访者在整合预防、检测、响应和修复方面看到很大的价值，而23％的受访者至少看到一些价值。

在本次调查中，分析了员工满意度，工具和管理支持架构，以帮助IT安全从业人员提供最佳实践和指导。

（一）Who’s in Charge?

随着企业实施自适应安全架构，他们面临着决策：在现有组织中优化每个功能的最佳方法是什么？（提供工具，以实现跨部门的安全操作来保护核心业务）。

为预防、检测、响应、修复和威胁情报功能创建不同的组，或将它们组合在一起或与现有安全组和IT功能组并合并，哪个更好？企业的决策将取决于现有组织的规模和成熟度，最终决策可能会影响架构的效率和有效性。

调查对象

根据人员岗位，63％的受访者跟安全相关，另一个25％与IT相关（包括IT，系统和网络管理员和分析师），职务包括事件响应人员、威胁hunting人员，IT安全执行总监，应用安全分析师和情报分析师。

调查对象涵盖了一系列行业，来自对安全性高度关注的行业有很高反馈率：反馈行业中，银行和金融占17％，IT安全14％，政府13％，医疗保健8％，教育8％。大部分（85％）的反馈组织在美国，总部在美国的占79％。越来越多业务在海外，有41％在欧洲有业务和31％亚洲。

人员规模几乎均匀地分布在受访者中，36％的员工有1-1000名工人，35％为1001-10,000名员工，29％为10,000名以上工人。 参见图1。

为了进一步分析，SANS对组织进行分类。

团队规模

安全团队规模与员工人数分布密切相关：

• 30％的机构少于5名安全/风险管理和隐私权相关的员工和承包商，其中28％属于小或中小型企业（即上表的第一二行）

• 33％ 有5〜20名团队成员，其中30％来自小型或中型组织，

• 20％有21〜100名成员，其中13％属于中型、大型组织

• 14％有101-1000人 团队成员，10％来自中大型或大型组织

• 3％拥有1000多名团队成员，2.5％来自大型组织。

见图2所示。

人员配置和领导关系

超过30％的受访者认为他们已经配备了预防、检测、响应和补救人员，只有22％认为他们的情报配备人员。一个可能的结论是，情报目前处于成熟期的边缘。

每个功能的完整性似乎随着规模的不同而变化，对于小型组织来说，每块功能的人员配备不完整的百分高。随着组织规模的增加，对人员配备缺少情况下降了。换句话说，较大的组织配备了专门人员。

大约30％的人表示人员配备完整，但21％表示情报配备是例外。 57％至60％的人表示部分配备人员，48％的情报配备是例外。对于情报人员来说，22％的人表示需要更多人员配置，而对于其余功能，8％至10％的受访者觉得需要额外人员配备。

从整体来看，大多数反馈者表明，每个功能（预防，检测，响应/补救，情报）由不到五名专门人员或共享人员组成，其次是“无”，然后是5-10位专业人员或同享人员。图3也表明是共享功能，而不是专用功能（见图3）。

不论人员配置是专用还是共享，都随着组织规模变化而变化：

•平均团队规模（无论是专用还是共享）在1到4人，根据组织规模有一些小的变化。 但是，对于大型组织而言，团队规模并没有大幅扩大。

•较小的组织的共享功能比例更高（而不是专用）。 更大的组织似乎更多地依赖专门的员工。

对预防、检测、情报和响应的监督主要由负责多种安全职能的安全人员担任，而不是专门安全人员。这可能是商业决策
–
一些组织将安全人员轮岗。或者，这可能反映人员短缺。这些统计可能与组织的规模有关，但没有明确的相关性，然而，较小的组织倾向于功能的组合，而较大的组织也有更多的资源可以雇用专门的员工。

13％至16％的企业对每个功能有专门监督（情报除外，11％）。

相比之下，修复功能通常由IT运营人员来处理，基于响应。 IT运营人员也是预防和响应功能的第二大监督人员。随着流程变得普遍，它们可以被文档化，并被传递到运营组，从而节省安全组的特定活动。

谁负责安全？这取决于公司。

在一些企业中，安全功能正在由多个职责的人员来处理。在其他企业，具有专门团队。配置是由组织内的现实决定的，但每种配置都有其优点和缺点，理想的配置可能是每个组织特有的。

虽然企业理解整合修复工作流和安全数据处理有价值，但是如何组织这些细节是难以捉摸的。

（二）断开的工作流和工具输出

一些组织的人员问题与其工具不足，特别是自动化和集成不足有直接关系。例如，很多调查对象仍然花费相当多的人工努力来收集安全和情报数据，并在需要时自动应用数据。

工作流程结果

行业非常需要威胁情报分析和事件响应，从而增强自动化和整合。在本次调查中，手动和自动化流程的组合用于数据相关功能（收集，存储和分析）和与过程相关的功能（预防、检测、响应和修复）。

39％的数据收集，存储和分析过程大部分或全部是手动的，42％表示手动和自动化一半一半。总体而言，45％表示，预防，检测，响应和修复程序仍然大部分或全部是手动的，另有35％表示一半一半。由于不到20％的受访者表示自动化达到50％以上。

总体而言，调查显示，对于手动而言，自动化和集成还是缺乏的，如图4所示。

数据相关功能中自动化工作更多一点。 成熟的组织试图自动执行常规流程，数据相关流程往往比安全流程更自动化。

部署工具

组织正在部署多种工具来支持其预防、检测、响应和修复功能。 结果显示，在主动预防和检测领域的部署工具水平较高，响应和修复领域的部署情况略低。 参见图5。

看看部署的三种最常用的工具，防恶意软件、终端保护是最常用于预防和检测的，紧随其后的是IDS / IPS / UTM，漏洞管理和Web安全。 SIEM最常用于检测，IDS也是如此，有趣的是，漏洞管理在检测中起着重要作用。

保护和预防也包括Web安全，这是有道理的，考虑到基于浏览器的漏洞是终端受攻击的两个主要原因之一。为了讨论的目的，SANS认为Web安全包括网络连接的Web部分和Web的应用的web部分。检测功能增加了IDS
/ IPS / UTM，响应功能也利用事件响应专用平台。

终端系统保护

 有92％的受访者表示他们的工具目前涵盖服务器终端，86％的受访者表示覆盖了公司的设备，79％表示覆盖了面向Web的应用，如表2所示。

然而，当我们询问云服务和个人移动设备时，只有三分之一（分别为35％和34％）表示涵盖这些终端，而大约相同的部分（分别为36％和35％）表示这些设备需要被涵盖。根据多个SANS调查，特别是对于个人拥有的设备，用户通过其终端是企业中的主要攻击的来源。由于个人设备在业务应用中的使用频率较高，因此这些设备是很重要的。

集中安全数据

 对于希望集成和自动化其安全流程的组织，重要的是集中或至少提供对安全数据的访问。

调查表明，超过一半（54％）并不集中数据。37％中集中其预防、检测、响应和修复数据，79％在SIEM中进行集中，25％使用云存储，24％使用其他分析系统，这意味着大多数组织有多个存储用于安全数据的存放。参见图6。

 SIEM和其他集中化解决方案不是“建立，忘记”，而是需要大量的定制和调优。鉴于（如前所述），大多数组织的员工人数不足，维护SIEM，集中数据是很大的挑战。

访问安全数据

哪些人员可以访问数据不太清楚，但是有明确的指标表明，多个角色，包括安全分析师、事件响应者、IT运营成员都可以访问相同的安全数据。在数据集中的机构中，69％安全分析人员可以访问数据，63％响应人员可以，61％管理员可以，57％IT运营人员可以。参见图7。

与安全有关的数据可能是敏感的，访问应受限。通过适当的控制，安全和操作组可以创建一个整体的方法，利用安全和响应数据支持组织的整体安全文化。

然而，使数据可用只是挑战的一部分;它也需要互操作。互操作性领域正在发展，语法和语义方面都面临挑战。

整合困难

在这项调查中，与其他SANS调查一样，不论组织的规模，84％的受访者表示缺乏技能和人员配置，其次56％强调缺乏资金和管理层，是障碍组织实现全面的可见性的两大原因。

第三个障碍是（由34％的受访者中选定）缺乏工作流程，这反映出以前提到的缺乏互操作性。另有33％的受访者表示缺乏集中的知识聚合工具，见图8。

然而，根据组织规模来看这些信息，显示尽管所有组织都表示首要原因是人员配置和技能短缺，但次要原因并不一致。中小企业的小公司表示缺乏资金和管理层是第二障碍。大型公司表示，预防、检测、响应和修复工具之间缺乏沟通是第二大障碍，如表3所示，其中蓝色阴影表明响应百分比最高，红色代表第二，黄色代表着第三。

 较小的公司（中小型企业）希望以工具形式更多地集中数据来支持。随着组织（或许安全团队）规模的增加，团队成员和不同团队之间的工作流程变得越来越重要。

随着组织的持续增长，企业的成熟度越来越高，认识到安全的关键性质是重要的，并为安全职能提供资金和人员。由于组织和安全功能变得更大，第三大阻碍是团队之间的沟通。认识到随着组织从小到大的增长，首先是缺乏技术（工具），然后是流程（工作流程），最后是与人们相关的挑战（尤其是沟通）。

不同数据和工作流程的影响

缺乏工作流集成和数据集中化影响其防范、检测和响应威胁的能力。在调查中，64％认为缺乏自动化影响了这些功能，另有21％的受访者表示不了解。只有15％的人明确表示，这种缺乏一体化并不妨碍他们在这些领域的能力。见图9。

  大多数受访者对检测事件的时间不满意，参见图10。

Vendors on the Hook

  当我们询问他们需要供应商提供什么，以提高安全性时。回应多种多样，但可归纳为几类：

•使用供应商-中立标准，如STIX™和TAXII™，而不是API，用于工具集成

 •提高了针对业务需求的特定解决方案的能力，同时允许用于数据交换和过程自动化的工具集成

 •提高供应商对业务流程的敏感性，而不是工具功能

  •降低成本

 

（三）结论和展望

正如64％认为缺乏集成和自动化影响其检测和响应能力，63％的受访者认为，消除障碍并集成功能，资源和数据将大大提高其预防，检测和响应的准确性和时间投资。另外23％的人看到了价值（这些组织认为他们已经拥有部分自动化系统所需的可见性），只有4％的人认为集成和自动化没有任何价值。

根据调查反馈，无论工具或流程如何，成功的关键都是高级管理层。安全及其优化影响整个组织，并且缺乏交互的多个单独的组织无法实现。组织需要采取更统一的安全策略，通过文档化的系统利用集中数据，并跨团队和工具共享知识和流程。

 领导力和愿景必须一致。一旦一致，组织可以开始保持每个安全功能的目标一致。那么当目标一致时，就可以利用团队、流程和工具来自动化和进一步整合。

原文地址：

https://www.sans.org/reading-room/whitepapers/bestprac/integrating-prevention-detection-response-work-ows-survey-security-optimization-37730