SANS 2022 年威脅狩獵調查報告
SANS 已經針對威脅狩獵進行了長達七年的持續調查,本年度調查的目標是了解組織如何構建威脅狩獵體系,確定組織如何選擇實現體系的工具與技術,以及確定威脅狩獵的人員配備方式。
調查目標群體中,最多的是銀行與金融行業和網絡安全服務提供商。
從公司規模來看,調研了非常多的中小企業。這使得結論更加具有適應性,不是超大型組織的安全經驗。
采訪了大量的安全運營人員與安全分析人員,能夠反映一線人員的實際感受。
威脅狩獵成熟度
50.5% 的受訪者認為組織已經處于“成熟”階段,相比去年的 40% 已經有所提高。
大家一致認為缺乏熟練的員工和培訓是進行威脅狩獵的主要阻礙,67.7% 的受訪者都同意該觀點。其次的主要問題是:缺乏明確的工作流程或方法(48.5%)、缺乏相關預算(47.7%)與已有工具或技術的限制(46.69%)。
今年,很多受訪者開始注意在云環境下建立威脅狩獵的能力。當然,威脅狩獵對數據的豐富程度與上下文的渴求是始終如一的。
威脅狩獵工具
調查受訪者當前與過去兩年中都使用了什么威脅狩獵工具。分析人員使用工具構建可見性,才能進行威脅狩獵。
83.4% 的受訪者正在使用 SIEM、EDR 等安全產品進行威脅狩獵,這是遙遙領先的。緊隨其后的是提供威脅情報的第三方平臺,占到 65.9%。
值得注意的是,也有 62.4% 的受訪者使用內部開發的威脅狩獵工具,這甚至比使用開源威脅狩獵工具的(40%)都要多。安全廠商也可以從用戶那里進行調研,看看各種內部開發的工具能不能也吸納進商業產品中,幫助產品變得更好。
相比過去兩年,大量的用戶都在購買 SIEM、EDR 和 IDS/IPS 等產品來改進安全狀況。也可以看出,利用人工智能和機器學習輔助威脅狩獵的增幅并不大,用戶可能并不認為這是解決安全問題的“銀彈”。
有部分受訪者表示已經開始使用漏洞管理類產品進行威脅狩獵,可能是受到過去兩年 Exchange Server、Log4j 等漏洞的波及,組織也在完善自己的狩獵方式。
- 毫不意外,大家(35.1%)仍然對 SIEM、EDR 和 IDS/IPS 等產品感到非常滿意,還有 45% 的受訪者表示比較滿意。
- 最少人不滿意的是開源的威脅狩獵工具,而最多人不滿意的反而是內部開發的工具。
威脅狩獵方法論
威脅狩獵方法論用于指導組織如何定義狩獵范圍、如何進行狩獵、使用哪些工具與技術進行狩獵。組織能否建立起正確的方法論,決定了威脅狩獵的能力。75% 的受訪者都認為組織已經擁有了一種以上的、明確的威脅狩獵方法論,盡管有一半的受訪者所使用的方法論仍然是臨時的。也有相當比例的受訪者正在計劃制定威脅狩獵方法,只有極少數人沒有明確的計劃。
組織通常都使用什么方法呢?調查數據顯示,最常見的是:
- 基于 IOC 或者基于 TTP 的威脅狩獵
- 基于已知攻擊者技術的威脅狩獵
- 基于假設的威脅狩獵
- 基于威脅情報的威脅狩獵
威脅狩獵方法其實是需要定期進行評估的,超過一半(56%)的受訪者都只在需要時進行評估。有接近 40% 的受訪者會定期進行評估,通常來說每年兩次或者四次評估是適宜的。
52.5% 的受訪者都表示,組織需要更多具備調查分析技能的員工來進行威脅狩獵。此外,組織非常渴望能夠在云環境下進行威脅狩獵(48.3%)、將人工智能與機器學習整合進威脅狩獵中(45.2%)。
人是威脅狩獵的核心
對威脅狩獵成敗影響最大的其實是人員配置。90% 的受訪者表示,人力資源對威脅狩獵是極其重要的影響因素。不僅體現在人員招聘上,還有對員工的培訓與教育。
65% 的受訪者都希望能夠將團隊的規模擴大 10% 以上,而只有 7% 的受訪者考慮縮小團隊的規模。
25% 的組織也開始嘗試雇傭外部威脅狩獵分析人員,將內部人員與外部人員的優勢結合起來,發揮威脅狩獵最大的價值。
當然,疫情也為人員帶來了相當的影響,有 14% 的受訪者確認疫情對威脅狩獵產生的負面影響。
衡量威脅狩獵的成功與否
目前只有 42.9% 的組織對威脅狩獵的有效性進行了衡量與評估,這相比去年(60%)其實是在退步。
在進行了衡量與評估的組織中,74% 的受訪者都是通過自動化的方式進行跟蹤,這相比去年的 45% 有了長足的進步。
開展威脅狩獵對整體安全狀況有多少改進呢?接近一半(48%)的受訪者都認為對整體安全提高了 25% 至 50%,甚至還有 7% 的受訪者認為將整體安全提高了 100%。
即便如此,也有 10% 的受訪者認為威脅狩獵沒有什么用處,5% 的受訪者認為威脅狩獵甚至帶來了負面影響。但相比去年來說,這一比例已經從 28% 下跌到 15% 。
威脅狩獵推動了哪些可衡量的改進?
- 53% 的組織在網絡與端點上的改進相當顯著
- 47% 的組織在更準確的檢測與更少的誤報上改進很顯著
- 46% 的組織在應急響應上有所改善
- 28% 的組織不確定在對橫向平移的檢測上有什么改進
結論
可以說,組織已經逐漸意識到了威脅狩獵的重要性。許多組織都在努力提高威脅狩獵能力,使威脅狩獵能夠更加成熟。未來也應該能夠看到威脅狩獵變得越來越重要,但最大的制約是缺乏有能力的分析人員。
SIEM 與 EDR 等安全產品確實很令人滿意,但未來也許能夠看到機器學習與人工智能在威脅狩獵中具有更好的表現。但必須注意的是,應該是業務驅動工具,而不是讓工具來支配業務。
點擊查看原文可以跳轉查看 SANS 原報告。
