SANS：2018年度事件响应调查报告

最近，在研究安全响应相关领域的内容。刚好在10月底，SANS发布了一份2018年度的事件响应（IR）调查报告，重点针对美国的中大型用户现状进行了一番调研分析。在这份题为《It's Awfully Noisy Out There: Results of the 2018 SANS Incident Response Survey》的报告中，SANS发现IR团队应对严重泄露事件的响应速度比去年有所提升，但仍然面临多重挑战。

首先，报告给出了受访者在过去12个月内发生的安全事件数量的分布情况：

安全事件发生的中位数在25次左右。

同时，对安全事件进行响应的情况如下：

可以看出，从发现安全事件到响应安全事件存在一个落差。

但是，调查没有分析按照安全事件类型划分的事件分布情况。事实上，对于如何划分安全事件类型本身就是一个值得斟酌的问题。作为参考，我在《爱因斯坦计划最新进展（201710）》一文中给出了美国NCCIC的划分统计方式，他们给出了一种按照***向量的划分依据。

接下来，SANS分析了安全事件中演化为数据泄露事件的情况。很显然，SANS认为Incident和breach是两个有关联但不同的概念。这点上，SANS跟Verizon的DBIR报告的观点是一致的。下面是DBIR2018报告中给出的定义：

回到SANS的报告，安全事件演化为数据泄露事件的分布情况如下图所示：

有31.4%的受访者表示Incident没有导致数据泄露，而有54%的受访者则表示则导致了。可见数据泄露依然属于安全事件中较为严重的问题。

接下来，SANS分析了导致数据泄露的技术途径（Components，或者叫Technical Tactics）：

可以看到，首要的原因是恶意代码感染（62%），其次是非授权访问（51%）、敏感数据窃取（43%）、APT***（35%）、内部泄露（30%）、非法提权的内部横移、破坏性***、数据完整性***、DDoS。

对照一下DBIR2018则将数据泄露的技战术划分为：以数据泄露为目标的******（48%）、恶意代码（30%）、错误或者意外事故（17%）、社会工程学***（17%）、特权滥用（12%）、物理***（11%）。如下：

可以发现，大家的划分内容还是有很多不同的。SANS更细更偏技术一些，而DIBR则更宏观更全面一些。

SANS认为IR流程分为6个部分：准备、识别、遏制、修复/升级、恢复、总结。而整个流程中最重要的三个度量指标分别是：检测时长（从失陷到识别出失陷）、遏制时长（从发现问题到遏制问题）、修复时长（从遏制问题到修复问题）。【注：我给出的一个定义：检测时长+遏制时长 = 止损时长】

根据SANS的调查发现，2018年，大部分泄露事件的检测时长在24小时之内，超过6成的受访者能在24小时之内完成遏制，75%的能够在1周内完成修复，均好于去年。

SANS的调查还显示，在发生数据泄露后，定位失陷系统和失陷用户是相对比较容易的。定位泄露的数据，搞清楚到底哪些数据泄露了，则相对比较困难一些，却也还能做到。而定位***源（Threat Actors），搞清楚***者细节则相对困难，40%受访者表示做不到。

SANS认为，IR应该跟SOC整合到一起，这是未来发展大势。现实情况中，IR和SOC分离的占23%。

对于未来，SANS发现，要继续搞好IR工作，最大的挑战在于人员技能短缺、工具和技术的预算不足、以及流程问题。而在被问及未来12个月主要打算做哪些投入的时候，受访者们提及的计划依次包括：培训、修复流程自动化、主动的威胁猎捕、改进IR计划和流程、自动化响应和修复工作流、进行IR桌面推演、借助SIEM实现更多更自动化的分析和报告。此外还包括提升安全分析与关联能力、集成TI、加强漏管，等等。