最近,在研究安全响应相关领域的内容。刚好在10月底,SANS发布了一份2018年度的事件响应(IR)调查报告,重点针对美国的中大型用户现状进行了一番调研分析。在这份题为《It's Awfully Noisy Out There: Results of the 2018 SANS Incident Response Survey》的报告中,SANS发现IR团队应对严重泄露事件的响应速度比去年有所提升,但仍然面临多重挑战。
首先,报告给出了受访者在过去12个月内进行响应的安全事件数量的分布情况:
安全事件响应次数的中位数在25次左右。
同时,未能进行响应的安全事件分布情况如下:
可以看出,有33.2%的受访者对每个安全事件都进行了响应,同时有35%的受访者存在未能响应的安全事件,而这其中又有一半的人有10条以上的安全事件没有去响应。此外,还有32.3%的人不清楚自己有没有未能响应的安全事件,说明他们的安全事件响应流程有问题。
但是,调查没有分析按照安全事件类型划分的事件分布情况。事实上,对于如何划分安全事件类型本身就是一个值得斟酌的问题。作为参考,我在《爱因斯坦计划最新进展(201710)》一文中给出了美国NCCIC的划分统计方式,他们给出了一种按照攻|击向量的划分依据。
接下来,SANS分析了安全事件中演化为数据泄露事件的情况。很显然,SANS认为Incident和breach是两个有关联但不同的概念。这点上,SANS跟Verizon的DBIR报告的观点是一致的。下面是DBIR2018报告中给出的定义:
回到SANS的报告,安全事件演化为数据泄露事件的分布情况如下图所示:
有31.4%的受访者表示Incident没有导致数据泄露,而有54%的受访者则表示则导致了。可见数据泄露依然属于安全事件中较为严重的问题。
接下来,SANS分析了导致数据泄露的技术途径(Components,或者叫Technical Tactics):
可以看到,首要的原因是恶意代码感染(62%),其次是非授权访问(51%)、敏感数据窃取(43%)、APT攻|击(35%)、内部泄露(30%)、非法提权的内部横移、破坏性攻|击、数据完整性攻|击、DDoS。
对照一下DBIR2018则将数据泄露的技战术划分为:以数据泄露为目标的黑|客攻|击(48%)、恶意代码(30%)、错误或者意外事故(17%)、社会工程学攻|击(17%)、特权滥用(12%)、物理攻|击(11%)。如下:
可以发现,大家的划分内容还是有很多不同的。SANS更细更偏技术一些,而DIBR则更宏观更全面一些。
SANS认为IR流程分为6个部分:准备、识别、遏制、修复/升级、恢复、总结。而整个流程中最重要的三个度量指标分别是:检测时长(从失陷到识别出失陷)、遏制时长(从发现问题到遏制问题)、修复时长(从遏制问题到修复问题)。【注:我给出的一个定义:检测时长+遏制时长 = 止损时长】
根据SANS的调查发现,2018年,大部分泄露事件的检测时长在24小时之内,超过6成的受访者能在24小时之内完成遏制,75%的能够在1周内完成修复,均好于去年。
SANS的调查还显示,在发生数据泄露后,定位失陷系统和失陷用户是相对比较容易的。定位泄露的数据,搞清楚到底哪些数据泄露了,则相对比较困难一些,却也还能做到。而定位攻|击源(Threat Actors),搞清楚攻|击者细节则相对困难,40%受访者表示做不到。
SANS认为,IR应该跟SOC整合到一起,这是未来发展大势。现实情况中,IR和SOC分离的占23%。
对于未来,SANS发现,要继续搞好IR工作,最大的挑战在于人员技能短缺、工具和技术的预算不足、以及流程问题。而在被问及未来12个月主要打算做哪些投入的时候,受访者们提及的计划依次包括:培训、修复流程自动化、主动的威胁猎捕、改进IR计划和流程、自动化响应和修复工作流、进行IR桌面推演、借助SIEM实现更多更自动化的分析和报告。此外还包括提升安全分析与关联能力、集成TI、加强漏管,等等。