SANS: От Log and Event Management к Security Analytics (ч.3)

SANS: От Log and Event Management к Security Analytics (ч.3)
Продолжая ретроспективный анализ ключевых положений документов SANS, посвященных тематике управления log-ами, а именно:
- SANS Sixth Annual Log Management Survey Report (2010 год);
- SANS Seventh Annual Log Management Survey Report (2011 год);
- SANS Eighth Annual 2012 Log and Event Management Survey Results (2012 год);
- Ninth Log Management Survey Report (2014 год),
рассмотрим один из самых сложных вопрос, что на практике мешает реализовать полноценный Log and Event Management в организации, т.е. с какими проблемами и трудностями они сталкиваются?

Здесь коллеги из SANS ввели 2 понятия:
- вызовы/проблемы (Challenges);
- сложности/трудности (Difficulties), которые дополнительно появились в документах 2014 и 2012 годов.

Необходимо отметить, что данные по этому вопросу представлены в документах не унифицировано, многие значения получены путем пересчета и интерпретации диаграмм, а также с учетом того, что для Challenges:
- 2010 – введена пятибалльная шкала (для графика выбиралось значение Most Challenging
);
- 2011 – введена двухбалльная шкала (для графика выбиралось значение Most Challenging);
- 2012 – введена трехбалльная шкала (для графика выбиралось значение First);
- 2014 – введена двухбалльная шкала (для графика выбиралось значение Most Challenging):
e06b68132c7858269bb8754962faba92.png

Плюс необходимо дать несколько дополнительных комментариев:
- крайне интересная позиция «Analysis and reporting»:
   - 2010 – «Analysis and reporting (and ability to interpret results)», на мой взгляд, очень важный комментарий про способность интерпретации результатов, т.к. аналитика ради аналитики никому не нужна;
   - 2011 – «Using for reporting and analysis», опять же, на мой взгляд, важное уточнение «Using for …»;
   - 2012 – «Lack of analytics capabilities», но здесь стоит отметить, что речь идет о «top three challenges they face when integrating their logs with other tools in their organization’s overall information infrastructure»;
   - 2014 – происходит разделение на 2 пункта, при этом, принимающих практически крайние на диаграмме значения:
- Analysis: 28% (лидирующая позиция 2014 года);
- Reporting: 5%;
- лидирующая в 2010 году позиция «Searching through data» (35%) стала наименьшей в 2014 году (всего 2%), что является прекрасной демонстраций эволюции в данной области.


Со сложностями/трудностями (Difficulties) все проще (если такой оборот речи уместен в данном случае), есть явные топовые позиции:
- Detected APT-style malware;
- Prevent incidents;
- Detect/track suspicious behavior;
- Support forensics analysis.

При этом сложности/трудности (Difficulties) напрямую отражают и топовые причины сбора log-ов (см. предыдущую заметку ):
8170ac45df50836b8cc3f454868e3eeb.png

Если говорить о преодолении данных вызовов, то данная тематика близка к работе с проблемами. Здесь я хотел бы обратить внимание, что в начале проблему нужно признать и только после этого работать с ней:
776be39607b9be132b6277197546de78.jpg

Таким образом, видно, что крайне актуальным был и остается вопрос аналитики, в связи с этим, на мой взгляд, и вышел в свет уже «Security Analytics Survey», а не «Log and Event Management Survey», плюс, достаточно «больным» для всех является вопрос корреляции, о котором, в том числе активно дискутировали на прошедшем PHD, где я имел честь из зала дать свои комментарии.

Успехов при идентификации и преодолении ваших вызовов и сложностей!


Финальная заметка по этой теме следует …
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только

Какие зарубежные новостные сайты по информационной безопасности вы читаете?