整个过程比较漫长，要反复跟ChatGPT谈判，比较需要技巧。当然，如果套路固定下来，可以加快这个过程，但需要注意的是，ChatGPT对于同样的问题答复是不同的，有时候会产生困惑。2）

Logic、Devo、Logpoint等四个新上榜的SAP厂商都是主打SaaS模式的SIEM厂商，在对于云SIEM的未来趋势判断上跟Gartner保持一致。建议大家结合笔者2022年的Gartner

SIEM），而微软在这方面很契合Gartner的判断。微软还有一个特色在于将Sentinel与EDR/XDR类产品Defender整合营销。Splunk和IBM回血在2021年的SIEM

2022年9月，IDC发表了2022~2026年的全球SIEM市场预测报告。IDC表示其高估了XDR可能对SIEM带来的冲击，SIEM在2021年取得了11.7%的超预期增长。基于此，IDC调高了其未来五年的SIEM市场预测，估计2022年将有52亿美元，而2026年将达到65.9亿美元，并不断扩大在中型和中小型客户中的渗透率。IDC报告表示，围绕SIEM的一些客户痛点已经众所周知，包括告警太多，误报太多，以及在运行的各方面都十分复杂。同时，XDR等其它产品抓住SIEM的这些弱点，也在试图蚕食SIEM市场。面对这些内忧外患，SIEM厂正在不断优化其产品，并加强对XDR的防御，譬如集成自动化响应，对告警分组生成更少的Incident，简化报价模式，向SaaS模式转型，支持跨数据集的查询（譬如splunk,

2022年8月2日，Forrester发布了最新一期安全分析平台（Security

Sadowski）纷纷离职，被耽搁了下来。BTW，近几年Gartner走了好几个安全运营领域的分析师，纷纷去到乙方，譬如Toby

buzzword！SIEM的未来TDIR是个什么鬼？Gartner目前也没有明确清晰的定义，只是作为一个对SIEM未来发展可能性的一个概述，可以作为Threat

2022年5月下旬，SANS发布了2022年度的SOC调查报告。本次报告有效调研样本为519份，其中50%的受访者所在单位员工人数小于1000人。除了面向传统的北美和欧洲地区，这次报告更加注重国际化，还特别推出了西语和葡语版的问卷，大幅增加了对拉美地区的调研，并打算将来推出更多的语种，以更加国际化。有趣的是，尽管样本空间构成比重发生了变化，但总的调研结果与去年的基本保持了延续性。这次的报告，SANS更新了SOC的定义，试图更好地反映这个领域的演变。笔者观察，这里所谓的演变，核心就在于：SOC的场所概念越来越淡化、虚拟化，人员也可以是分散的、远程的，能力建设越来越外向（外采服务）。SOC是一组能力和拥有SOC的组织如何运用这些能力的集合。这些能力是一套基于过程的，组织业务需求或使命声明驱动的相关服务。注：这里的SOC是真正意义上的安全运营中心，而非支撑SOC的核心技术平台（通常叫做安全管理平台或者SOC平台）。SOC格局1）47%的受访者表示自建SOC是组织强制要求的。2）53%的SOC是单一的、集中式的部署模式，19%的SOC是多个的、层级式部署。3）展望未来12个月，集中式的单一SOC将继续增长，同时基于云的SOC服务将大幅增加，而不成熟的非正式的SOC数量将继续下降。对比2021年的相同问题的调研（如下图所示）：可以发现，转向云SOC服务是最大的趋势。而笔者估计由于样本覆盖扩大（增加了非欧美单位）的原因，传统SOC仍然在增加。这进一步说明：（1）云SOC是未来大势所趋，并且是近在眼前，至少对于发达的欧美国家是如此。因此SANS倾向于用能力而非场所来指代SOC。反观中国，可能还比较遥远。（2）传统的SOC建设依然是大头，且还会增长。这比较能够反映中国市场的现状。SOC面临的最大挑战与去年的调研结论不同，去年排名第五的“人员高要求”跃居第一，上次的第一和第二变成了第二（缺乏训练有素的人员)和第三（缺乏自动化与编排）。笔者看来，人员要求高和人手不足是紧密相连的。而人员岗位职责要求高比人手不足更可怕，因为高要求意味着人手更难以补足。另一方面，岗位要求高也说明安全运营的难度大，复杂性高。我们一方面要设法加大适岗人才的培养和供给，另一方面还要设法降低运营的难度。而这就需要技控，安全自动化是一个关键选项。SOC的五大成功因素在今年的报告中，SANS试图给出五个关键因素，帮助SOC用户切实提升自身的运营水平。1）你组织的安全运营发展趋势是否在正确的方向上？调研表明，越来越多的组织表示通过SOC运营，遭受的入侵和安全事件呈下降趋势，并且安全事件造成的损害也在下降。2）你组织的SOC人员是否跟上了SOC业务的发展？调研表明，组织的SOC人员数量典型的在2~10人之间，同时人员流动率依然较高，典型的人员在职时间在1~3年间，较短，因此留住人才十分关键。3）你组织的SOC能力是否满足业务需要？报告建议SOC用户对比调研中涉及到的SOC能力清单和优先级，看看自己的SOC能力建设是否跟相似组织的SOC能力匹配。重要的能力包括：检测/监测、漏洞评估、事件响应、告警分诊与升级，以及平衡自建和外包资源的能力。4）你组织的SOC技术发挥价值了吗？SOC用户可以将自身SOC技术的价值评估与调研报告中的的结果进行对比，看看哪些技术的应用水平需要提升。5）你组织的SOC度量指标是否真实反映出你SOC投资的有效性？SOC人员调研１）2~10人是大部分规模下的组织中SOC团队的典型数量。２）正如人才是SOC面临的最大挑战，SOC人员的流失率居高不下。上图表明，工作1到3年的人员占比最高。而SOC岗位的高要求和人员短缺的现实都表明需要尽量留住员工，以应对这些挑战。因为留住员工的总投入可能比招聘并培养一个适岗人员低得多。３）留住员工最有效的方法是职业发展而不是钱。要留住人才，钱是必不可少的，但清晰的员工职业发展规划也是不可或缺的。尤其是大部分SOC团队本来就缺人的厉害，大家工作强度都十分高。如果没有匹配的薪资和职业发展前景，干1到3年就走人十分正常。而职业发展前景又跟SOC的投入有关，如果总是缺少资金，必然导致无法采购更多的生产力工具、培训经费不足，人就会更多陷入重复性无趣劳动中而出现运营疲劳，如果又看不到上升空间，必然萌生离职的念头。4）远程办公成为常态。主要是在欧美地区，由于疫情的原因，SOC人员需要远程办公，并且大部分都实现了远程办公。这也意味着SOC的技术架构和管理制度都要适应远程办公的需要。譬如如何实现安全的远程办公成为一个重要技术考量，这里的安全不仅指安全接入，更重要的是敏感信息保护。SOC能力（流程）调研下表列举了受访者认为SOC最应该干的事情（即能力，也可以看作是流程）：可以看到，不论是自建还是外包，最重要的前4个能力是：安全监测与监控（去年排第三）、告警分诊与升级、事件响应（去年排第一）、漏洞评估（去年排第五）。而以上除了“其它”之外的能力，都应该是SOC要具备的。正如前面SANS用能力来定义SOC，上表就是那些能力。也正如前面SANS对SOC的定义所述，能力外化为基于过程（流程）的服务。同时，上表还展示了哪些能力更多采用纯外包方式获得。渗透测试、红队、紫队（注：国内大部分人对紫队的理解跟国际上的定义是很不一样的）、威胁情报（生产）、威胁情报（溯源）、数字取证位居前列，与去年大体相当。反过来看，安全规划、安全管控、数据保护、安全架构与工程、合规支持、事件响应、修复、告警分诊与升级、SOC架构与工程、安全工具配置集成与部署、安全监测与检测则更多采用自建方式。SOC技术调研1）SOC技术应用情况下表是4类SOC技术（主机、日志、网络、分析）的应用情况的分类统计表。与去年的统计表相比，今年在分析类中多了一个SOAR技术。可以从很多维度进行分析。笔者发现，机器学习和AI（42）、电子取证（40）、欺骗技术如蜜罐（39）、SOAR（37）、恶意代码引爆/消除设备（36）、TIP（33）、全包捕获（30）位居计划采购部署的技术前列。同时这些技术当前的部署规模也相对较小。在已经全面部署的技术中，VPN（55.6%)、NGFW、SWG/SEG、DNS防火墙、IDPS、网络隔离、标准化SIEM（45%）、主机持续监测与评估的部署率相对较高。2）SOC技术满意度评分SANS今年依然统计了各项技术的满意度，但采用了与去年不同的算法。今年采用了类似GPA的评分方法，为每项技术给出ABCDF五个等级，分别对应4、3、2、1、0分，然后根据得票计算最终得分。结果显示，VPN（3.11分）、标准SIEM（3.08分）、端点日志分析等成熟技术的满意度得分最高（大于3分，满分是4分）。相反，全包捕获、资产发现与清单、流分析、SOAR得分垫底（都是2.61分）。如果3分算作满意的话，那么仅有3个技术达标。可见，技术满意度普遍都不高。如果2.4分算及格的话，那么所有技术都合格。如果单看F评分，获得F最多的三个技术是：恶意代码引爆/消除技术、欺骗技术、AI与ML技术。注意，有些技术满意度相对较低，不见得是坏事，说明这些技术市场存在很大的机会。３）SOC监测活动的内容下图显示了受访者认为SOC监测活动应该包括的内容：可以看到，大部分人将检测作为监测的一部分。同时，还有人认为响应支撑也是监测的一部分。笔者认为，如果把监测作为一个活动域的话，它跟响应活动域是分开的。但对于一个监测团队而言，如果仅仅行使监测活动，并将监测结果中需要响应的事件给到响应团队去处置的话，未免过于单纯了。监测团队可以行使部分力所能及的响应活动，而没有必要划分的那么死板。４）事件关联的首要技术现在，技术越来越多，越来越复杂。人们在谈论关联分析的时候，可能完全指的不是一个东西，很多技术中都会用到关联分析。下图表明，在目前SOC的事件关联方面，SIEM是首选技术。当然，这并不是说SOAR和XDR等的关联分析就没有用，而是要用对场合。５）对非传统设施（OT设施、移动互联网、物联网等）的支持下图表明，接近一半（48%）的受访者表示他们的SOC部分或者全部支持这些智能设备。进一步分析，报告还发现，32%的SOC是将这些智能设备管理与IT设施的管理混在一起，统一管理与运营。而更多的SOC则或多或少地将IT安全运营与OT等非传统设施的安全运营分开了，有的是完全分开，有的是两套系统一套人马。SANS认为，未来逻辑上分开是趋势。如下图所示。6）SOC和IT运营的关系诸如SOC和NOC的关系问题，总是很多人关心的问题，尤其是对那些运营成熟度高的组织和国家而言。SANS的调研表明，整体上二者是密切协作的关系。具体如何协作有深有浅。笔者认为，二者之间必须有机协同，到什么程度跟自身运营管理机制和运营成熟度相关，不必拔苗助长。SOC投资和回报调研１）预算规模分析如下图所示：30%的受访者不知道自己单位的SOC总体预算。同时可以发现，48%受访者的SOC年预算少于100万美元。之前谈到过本次调研有50%的受访者所在单位员工人数小于1000人。那么可以估算一下，近一半的受访者平均每员工的年SOC开销小于1000美元。笔者无法估测这个数据意味着什么，但这个指标给大家一个很好的启发。就是在评估SOC投资的时候，要看这个单位的员工数，要分析平均每员工的SOC年投资金额。因为现在SOC保护的不是少量核心资产或者核心人员，而是整个网络，网络中的每个员工。人数越多，通常网络规模就越大。笔者不知道国内的每员工SOC年投入是多少，平均值是多少，但建议SOC负责人可以自己算一算。2）预算和指标的关系如下图所示：SANS发现，预算编制过程越正规，期间建立的指标就越完善，这为后续的考核奠定了基础，也便于大家公平地评价SOC的建设成效，计算投资回报。3）建设成效度量首先，大部分受访者都建立了SOC度量指标，对这些指标的满意度也比较高。其次，报告给出了2个建议性指标：每失陷记录的成本（cost-per-record），有SOC的事件数与没有SOC的事件数之比（incident

在2020年，笔者讨论了从2015~2020年间Gartner对SOAR定义的变迁，列举了Gartner的7个SOAR定义，并对定义的变化给出了笔者自己的解读。如今，两年过去了，SOAR在中国已经得到了广泛的认同，并正在落地生根。回顾这两年SOAR在中国的实践，环顾国际SOAR市场发展变化，面向未来，是时候再次重新定义SOAR了。持续研究Gartner对SOAR的定义SOAR诞生于Gartner之手，让我们继续从Gartner开始。定义8【2020年，SOAR市场指南】：SOAR是将事件响应、编排与自动化，以及威胁情报管理整合到一个平台之下的解决方案。SOAR工具用于记录和实现过程（譬如剧本、工作流和流程），支撑安全事件管理，为人类安全分析师和运营人员提供机器协助。工作流（譬如事件分诊、事件响应、威胁情报加工与管理、合规监测与管理）可以与其它技术的集成实现编排，并通过自动化去达成预期的目标。SOAR

Mellen女士有过多次沟通，收到了很多国际SOAR发展趋势的新鲜资讯和分析师观点，也向她分享了中国SOAR市场的情况。顺便提一下，Allie

SOAR已经出现了5年以上，目前刚迈入Gartner炒作曲线的理性回归阶段。笔者正式从事SOAR领域也有4年。尽管Gartner对SOAR的定义几经变化，但近几年一直比较稳定，将SOAR定义为“安全事件响应平台、安全编排与自动化以及威胁情报的集合，通过安全运行任务中技术性和非技术操作的（部分）自动化，助力提升安全运行人员的工作效率”。Forrester通常喜欢形成自己的一套概念和术语定义，但在SOAR这个术语上，跟Gartner保持高度一致。Forrester将SOAR定义为“一种将跨安全和业务生态系统的第三方工具集成到一起的自动化技术，实现对安全事件的分诊、协调，并采取基于剧本的协同行动”。随着业内对SOAR概念达成共识，SOAR技术也在日益成型，越来越多的客户已经开始将SOAR用于自身的安全运营实战。在2021年11月份，美国负责国家民事网络安全的主责部门CISA（网络安全与基础设施安全局，隶属于国土安全部）发布了第四版战略性技术路线图，描绘了2022年到2026年的未来5年间美国政府需要重点投资的3个战略性性技术方向和18个能力需求。这其中就包括了SOAR技术。对于SOAR的定义，CISA跟业界是一致的：SOAR使用与组织中（或者与这些组织相连）的安全传感器和其它技术平台的连接来自动执行安全操作。SOAR技术可以配置为一系列操作组成的剧本或者工作流。这些操作包括响应动作，譬如告警分诊、隔离用户会话、运行漏洞扫描、开具工单、更新签名、警告分析师等。通过这种方式，剧本安全组织提供了一种机制来自动化以前由安全运行人员手动执行的（部分）流程。报告表示，通过各个供应商的大规模投资（自研或者并购），SOAR市场正在迅速成熟。CISA认为近两年内SOAR技术在美国政府处于“证明”（demonstration）阶段。所谓“证明”阶段是指该技术已经获得了充分的研发，值得考虑如何将其应用到日常的实际生产运行环境中去，包括进行试点、原型验证、模拟验证，以及进行大规模实验等。该阶段的重点是在控制好部署风险的同时维持该技术的价值主张，以证明其集成到运营中的合理性。此外，包括DHS和DOD下属的DARPA都安排了跟SOAR有关的课题项目。DHS也曾经委托约翰霍普金斯大学的APL实验室针对几个州搞过SOAR的试点。没错，就是那个受NSA委托研究IACD（集成自适应网络防御）框架的APL实验室。总之，透过CISA的这份报告，可以清晰地体会到SOAR作为美国政府面向未来5年网络安全建设的战略性技术，被寄予厚望。同时，当前SOAR技术发展迅猛，美国政府已经从早期的观望转而开始进行各种试点。从美国政府对SOAR的态度，延展到北美和欧洲的SOAR市场，我们看到的也是一幅如火如荼的景象。除了美国公司，我们也看到不少欧洲公司进入这个市场，很多SIEM厂商都纷纷进入这个市场。Forrester刚刚发布的SOAR报告显示，全球范围的客户纷纷都在实践SOAR。回到中国市场，正如笔者去年底与安全牛就SOAR报告所作的访谈中叙述的那样，目前中国客户（尤其是头部客户）对SOAR正在迅速从旁观者向参与者转变。早前，他们更多是问谁在做SOAR？做得怎么样？现在越来越多会问如果我做会有什么效果？以前更多是理念的探讨，现在越来越多实战场景化的研究（譬如POC），看案例，看效果。而国内参与SOAR市场的厂商也大量增加，不仅有独立的专业SOAR产品，也有将SOAR功能打包到各种平台产品中的泛SOAR产品。如今，SOAR的意义已经显而易见，更多需要的是客户和厂商携手用落地来证明其实际价值。当然，SOAR作为安全运行自动化领域的一个平台、工具和技术，其实际价值的发挥受限于当前国内整个安全运行成熟度水平。但笔者相信SOAR所代表的未来。正如笔者多次跟Forrester和Gartner分析师沟通的那样，无论SOAR的产品形态未来会如何变化，SOAR技术作为安全自动化的代表，作为DevSecOps低代码/无代码开发趋势的代表，会在很长时间内占据一席之地。而笔者猜测，这也是为什么美国政府将SOAR列为战略性网络安全技术的关键原因。【参考】安全编排自动化与响应（SOAR）技术解析深入研究SOAR的核心能力——安全编排与自动化在BCS大会嘶吼夜话栏目中畅聊SOAR白皮书：安全运行迎来SOAR时代

概述2021年10月底，SANS发布了第四次SOC调研的结果，发表了《2021年度SOC调研报告》【笔者注：由于赞助商不够，2020年度做了调研但没有出SANS报告，本报告作者Chris

【注：本文非译文！】2021年6月29日，Gartner发布了2021年度的SIEM市场魔力象限分析（MQ）报告，对全球2020年的SIEM市场进行了分析和厂商评比。由于2019的报告被推迟到了2020年出版，2020年度的SIEM

2021年8月，SANS发布了第三次（2021年）的自动化与集成调查报告。SANS认为安全自动化与集成技术属于安全领域比较难的领域，但随着新冠疫情的持续，尽管安全预算受到影响，但总体上安全自动化与集成的需求呈现了较大的增长。根据报告，2021年的调研结果跟2020年相比，有较大差异，说明安全自动化与集成的应用实践进入到了新的阶段。注意：SANS这里的自动化与集成不等于SOAR，而是更广义的安全自动化。包括SOAR、EDR、NDR、XDR、关联分析、UEBA等都属于安全自动化。SANS的报告显示：1）企业和组织正在转向更广泛的自动化安全运行，尤其是在自动化事件响应处理和自动化告警及防护控制方面。譬如，2020年调查报告中有58%受访者表示在未来12个月内计划对关键的安全运行或者IR流程进行自动化，而2021年调查报告中这个比例上升到了85.3%。2）近50%的受访者认为风险处置自动化的关键过程可能会因为依赖IT运行流程和工具而受到拖累。笔者认为，这说明，一方面安全运行流程跟IT运行流程有很多需要协同的地方，两个团队必须紧密合作；另一方面这种跨职责和跨部门的流程处理始终是一个挑战，国内如此，国际上亦如此。SANS报告还特别指出了从安全和IT在职责上都十分看重但视角却各不相同的资产清点与资产管理两个关键能力。这种交叉的能力如果协调不好，就会很麻烦，自动化的水平会大打折扣。3）报告建议客户从简单的自动化开始，逐步完善，从小的成功迈向大的成功【笔者注：这种建议是常见套路，但如何小步快跑却没有必然的成功路径】。近50%的受访者认为最基本的自动化需求是“获得实现简易自动化的通用实践和最佳实践”【笔者注：现在的人都差不多，缺的不是平台和工具，而是知识、经验和内容，对乙方而言，要及时调整投入的分布】。2021年度的调研对象主要包括网络安全企业、银行和金融业、教育行业和技术企业，重点涵盖北美地区，也包括欧洲、亚太和非洲地区的企业和组织。同时，为了更好地度量调研对象的规模大小，不仅询问了这些单位的员工人数，还考察了这些单位的端点（包括服务器和终端）数。经统计，本调研对象的端点数主要分布在100~5000这个范围内。【笔者注：这个看终端数来衡量单位大小的方式比传统的数人头的方式更贴合网络安全领域的调研分析。譬如很多制造业企业人头数很多，但端点数量不一定很多。还有的单位人不一定多，但端点数量可能很多。而端点数量多，基本上IT网络基础设施的规模就会大】调研中，SANS发现有一些用户答复说不知道自己的单位有多少端点。SANS表示，如果你连自己有多少端点都不清楚，肯定是做不好安全自动化与集成的。资产清点是安全自动化与集成的基本前提，甚至可以说是任何安全项目的前提！安全自动化程度SANS报告显示，2021年度的企业和组织自动化水平大幅上升，如下图所示：对比2020年和2019年的如下：可以发现，自认为自动化水平为高（意指关键的安全和响应流程广泛自动化）的比例从2020年的9%飙升到2021年的33.9%，中等级别比例也上升到了48%。SANS认为这个迹象表明某些流程的自动化和集成已经成熟。照例，SANS进一步调研了三个核心领域（安全运行中的事件/告警处理、事件响应处理、网络暴露面缓解）的自动化水平，如下图所示：对照一下2020年的三个核心领域自动化水平图如下：可以发现，三个领域的自动化水平都有明显提升。SANS建议客户在拥抱自动化的时候，可以优先考虑从上述三个领域入手。如何落地自动化技术？2021年的调研显示，跟2020年相比，用户在考虑如何落地自动化的问题上发生了较大变化，从外购自动化工具为主转向了自建和寻求MSSP的委托方式。为何会有这种变化？SANS的报告并未深入分析。笔者认为，有一点可以估计的是，国外随着云计算的普及应用，以云SaaS和服务的形式交付安全自动化的场景会越来越多，使得寻求MSSP的可能性增加。投资与预算下图对比展示了2020年和2021年的调研结果：可以发现，在2021年调研时，用户对于安全自动化投资占整个安全预算的比重更加清晰了，2020年有超过40%的人不知道当时的占比，也不知道未来12个月的预期占比。同时，2021年的调研显示客户对安全自动化的投资已经越来越认为是理所当然的了。占比3%~4%是最多的一档，对未来12个月的占比预期也都比现在要高，说明未来占比还会继续提升。总之，原来客户对自动化还存在疑虑和不确定性的话，那么现在对其前景更加明确和看好了。进一步地，在询问影响预算决策的因素时，2021年的调研结果与2020年也有较大差异。如下图是2021年的：下图则是2020年和2019年的：可以发现，以前更多的是认为跟人、跟管理、跟工具相关。而到了2021年，则变成了“建立围绕使用自动化的有效政策”，“确保当前企业和组织中使用的各种工具和技术之间的互操作性”，人的因素排到了次要的位置。笔者认为，这说明，对于自动化，客户已经从观望状态进入实操状态了，只有下场干起来，就会发现互操作性的重要性，否则自动化落不了地。而只有实际干起来，就会发现企业和组织对自动化的导向机制很重要。上马安全自动化的的基本需求如下图所示：可以看出，排在前三位的是：1）获得实现简易自动化的通用实践和最佳实践：客户想先从简单的自动化开始，看看业界有没有什么现成可行的实践和经验，有效的场景，先引入和借鉴，再慢慢自己深化；2）将围绕安全运行的工作流程和策略执行过程自动化：需要运行相关团队之间的密切协作；3）提升运行团队和外部的利益相关者之间的信息交换水平：提升整体的安全可见性。有意思的是，对比2020年的调研报告，前三项需求变化也不小：如上图所示，在2020年，只有“将围绕安全运行的工作流程和策略执行过程自动化”还居于前三，其他两个完全不一样，甚至当时排名都倒数。自动化与集成的价值点（目标）的满意度评估如下图所示，显示了安全自动化的14个价值点（目标）的2021年度满意度评估情况：对比一下2020年对这14个价值点的满意度评估：可以发现，两次的评估结果差异较大。主要原因并不是原来满意度高的降低了，而是一些原来满意度低的价值点现在满意度大幅提升了（当然，总体满意度提升了），尤其是满意度排名前四的价值点发生了较大变化。2021年的前四整体满意度价值点依次是：持续监测、提升对基础设施监测的可见性、通过与威胁情报的集成提升早期威胁预警能力、利用好企业和组织当前在用的各种安全工具。SANS提醒读者，要关注那些满意度低的价值点，譬如消除告警疲劳、提升内部安全事件的处置能力、制定可以一致和精确执行的IR规程、减少检测/响应/修复的时间、告警优先级研判，等等。这些都是我们已知的安全运行过程中的难点和顽疾，客户寄希望于安全自动化与集成能够改善这些问题，但目前收效还不显著。笔者认为，安全自动化与集成是能够改进这些问题的，但还需要时间（梳理流程、更好的场景和剧本设计、更好的技术进入与集成）。实施安全自动化与集成项目的风险下图展示了受访者认为的做安全自动化可能会面临的主要风险排序：对比去年的调研结果：可以发现客户对自动化项目成败的风险越来越务实，原来排位较高的资源约束、跨部门政治等问题的风险都下降了，突出的风险聚焦在：风险处置自动化的关键过程可能会因为依赖IT运行流程和工具而受到拖累，实现工具厂商默认没有提供的跟客户自身业务相关的自动化场景所需的技能缺失，供应商的技术和工具缺乏开放性以至无法获得想要的数据。笔者认为，这些风险都很现实，只要是在自动化项目的实操中就会遇到。针对第一个风险，SANS表示，协作是自动化设计成败的关键。运行相关的团队一定要紧密协作，共同设计出安全自动化的流程和剧本，将各自的工作职责有机的连接（协同）起来，而不要各自为战。总结SANS总结到，正如调研报告显示的，自动化的挑战不仅仅是来技术的：1）既要理解企业和组织的需求，也要清楚自己的自动化目标。要有一个战略愿景，要认识到自动化是企业和组织安全框架的一大基础；2）保持现实。不要在初始项目中试图实现所有自动化目标。从一个你确认能够成功的点开始做，然后不断扩展叠加，把自动化越做越大，越做越好。3）不要低估将自动化融入您的安全文化的必要性——这不仅与策略有关，而且与利益相关者有关。尽力利用自动化来提高整个企业和组织的可见性和沟通水平，让相关者都了解安全部门正在采取哪些措施来进行保护、检测和响应。【笔者对报告的读后体会小结】1）安全自动化（尤其是SOAR）获得的关注和应用越来越多，去年是观战（看别人怎么做）为主，今年则有更多的人实战（上马SOAR项目）起来了。安全自动化是安全体系必不可少的一环，客户的战略和规划中必须有所体现，是时候开始进行试点了。2）安全自动化还不够成熟，客户在试点此类项目时，还需小心谨慎，从一些基础的自动化做起，从告警处置、响应处置做起，充分借鉴自己或者业内同行的已有的得失、经验和教训，少走弯路，小步快跑，迭代演进。3）要做好自动化，一定要梳理安全运行的流程，梳理流程环节中涉及到的不同部门岗位的人员的协作关系。一方面，流程是基础，是落地好自动化的前提，另一方面，通过自动化也能反过来促进流程的梳理和改进，二者是相辅相成的。4）人永远是安全建设成败的关键，安全运行如此，安全自动化亦是如此。自动化不是取代人，是让人更强大更高效。自动化条件下的安全运行对人提出了更高的技能要求。【参考】SANS：2020年自动化与集成调查报告SANS：2019年自动化与集成调查报告安全编排自动化与响应（SOAR）技术解析深入研究SOAR的核心能力——安全编排与自动化Ponemon调研报告揭示安全自动化和AI的价值定位以及与人的关系在BCS大会嘶吼夜话栏目中畅聊SOARSANS最新报告SANS：2019年自动化与集成调查报告SANS：2019年事件响应调查报告SANS：2020年网络威胁情报现状调研报告SANS

Labs获得了SOAR技术，总算是面子上追了回来，但整合的如何尚未可知。而且Forrester认为Arcsight拥抱云相较于其它几个大厂而言太晚了点。顺带提一下，Micro

【注：本文不是译文】2021年1月份，Ponemon针对2020年初做的《SOC经济学》调研报告出了一个续集。在第二年度的《SOC经济学：出效果到底要花多少钱》的报告中，更多的受访者（80%）认为SOC是必不可少、甚至是十分重要的，而2020年的报告显示这个数字是73%。本次报告的最终采纳调研样本是682份（发出了17200份），并且访谈对象基本都是各单位SOC相关的中高级管理者，他们的行业分布分散，单位规模都是中型以上。报告显示：疫情对SOC的运行产生了显著的影响，超过三分之一的SOC团队被迫采用远程运行的方式，超过一半的的人表示他们的工作受到了疫情的影响。如何保障员工远程办公的安全性成为了SOC的一项焦点工作，而国家级的攻击以及犯罪组织的攻击在SOC团队心中的阴影面积进一步加大。好消息是SOC运行人员日益受到重视，30%的组织表示2021年的SOC团队规模将扩大到6~10人。更重要的，是薪资的蹿升，调研显示同比去年将提升32%。不过人也变得更累了（75%

2020年BCS北京网络安全大会已经结束。在8月15日晚间的《嘶吼夜话》栏目中，笔者有幸作为国内独立SOAR初创公司代表参加了当晚的一档直播讨论，题为《SOAR如何改变安全运营现状》。一个小时的时间很快就过去了，笔者也将自家的SOAR发布一年多以来实践的感悟跟大家进行了分享。现将直播时交流的主要议题和我的主要观点总结如下，欢迎大家指正。1、

自动化应用执行：剧本在工作流引擎里执行过程中如果某个活动需要调用集成化的安全能力，系统会自动激活应用执行引擎，并通过应用集成框架对相关能力进行接口调用，并将返回结果送回工作流引擎；5)

Response，意即安全编排自动化与响应。看过本人《安全编排自动化与响应（SOAR）技术解析》一文的人都知道，Gartner最早提出SOAR这个概念的时候，是将其对应为Security

resiliency）是指使用网络资源的系统，或者被网络资源使能的系统在面对不利条件，承受压力、攻击或者损害的时候所展现出来的预测、承受、恢复和适应能力。The

2020年5月，SANS发布了2020年度（也是第二次）自动化与集成的调研报告。这次的报告的受访者相较于去年翻番还多，参与者更加踊跃。同时，受访者更多是一线运维人员，管理层人员有所减少，因此报告调研结果更接地气。报告显示，用户对安全自动化与集成的兴趣日益浓厚，加大了这方面的投入和预算，以期通过改进的流程来提升运维人员和组织的效率。整体来说，SANS开启自动化与集成的调研，目的在于回答以下三个问题：1）你的单位跟上当前威胁发展的形势了吗？2）你的单位依然靠手工流程吗来运维/运行/运营吗？3）你的单位还在因为缺少资源、工具和预算而挣扎吗？针对2020年的调研，SANS还着重聚焦了另外两个问题：1）自动化和集成对改进安全运维起了多大帮助作用？2）如果没有，那么该怎么办？理想和现实的差距有多大？如何弥合这个差距？为此，在2020年的调研问卷中，SANS新增了12个问题，并设计了更多的主观题（开放式回答，而非选择题）。通过与2019年的报告对比分析，SANS形成了如下关键发现：1）采用了专门的安全自动化工具的客户比上一年增长了11.8%，预算也增长了3~10%；2）相较于过去的项目，用户对现在的自动化与集成项目的信心普遍下降；3）用户越来越重视提升安全运营的项目，而非部署FW或者IDS；4）自动化不会减少对人的需求，相反还有增加的需求；5）自动化的预算更多了；6）SecOps和IR的自动化越来越受到关注。【笔者注：观察国内市场，其实也可以发现一些端倪，随着大规模网络空间安全基建的逐步到位，以及人们对于对抗和实战化的日益重视，安全运营(SecOps)，包括安全响应必然越来越受到客户的重视；安全平台类系统的需求会越来越多，客户会逐渐从如何买好向如何用好转变；未来衡量安全建设水平的高低不是用了多少技术和产品，而是如何将这些技术和产品用起来的。】这次的调研再次回顾了安全自动化的演进历史。从两次的报告可以看出，SANS的自动化和集成是一个更加宽泛的概念，并非跟SOAR的自动化范畴相对应。安全领域自动化其实很早就有了，SIEM的采集和分析属于SANS的自动化范畴，NAC的准入研判也属于SANS的自动化范畴。笔者将SOAR中的自动化称作安全编排的自动化执行，是安全自动化的一个子集。SANS再次重申了对于编排、集成和自动化三个概念的定义。笔者在2019年SANS报告分析中进行了介绍，在此不再赘述。这里只是再次强调一下自动化不是完全的自动化，而是尽可能的自动化。根据笔者的理解，Automation不等于Automated，Automated是自动化了的，而Automation是使什么向自动迈进。安全自动化程度通过两年对比，可以发现企业和组织的安全自动化水平总体上在不断提升（中等水平和高水平自动化比重提升，无自动化受访者减少），如下图：进一步地，SANS分析了三个核心领域的自动化水平。SANS认为安全运行和事件及告警处理、IR处理、弱点处置（SANS称作阻断网络安全暴露）是安全自动化的三个重点目标。可以发现，从中高级程度自动化水平线来看，目前，安全运行的自动化水平相对最高，其次是弱点处理，再次是IR处理。这也说明，目前对于安全运营团队（secops

2019年3月份，SANS针对安全自动化做过一次调研。近几年，安全自动化是一个很热门的概念，包括SOAR产品市场的出现，得到了业内人士的很多关注。一年之后，再看一遍SANS的这份安全自动化调研报告，依然能够给到我们很多启发。安全自动化的五个误解这份SANS报告首先列举了安全自动化的五个误解，分别是：误解1：啥都可以自动化。实际上：安全的复杂性决定了100%自动化是不可能的。误解2：自动化可以实现用机器取代人。实际上：自动化是帮助人而不是取代人。误解3：现有的工具可以很容易地集成并自动化。实际上：工具集成（即工具的API封装）很重要，并且不简单。误解4：自动化很容易度量。实际上：要实现客观的度量关键还在于度量指标本身，而非自动化。误解5：自动化实现过程很快。实际上：实现自动化需要付出很多努力，实现的过程可能很长。关键术语重点是对于编排和自动化两个术语的定义。Orchestration

now.笔者的画外音，这就是我们做SOAR的原因啊！【下面这篇文章也是介绍这个报告，译文凝练，言简意赅，出自业内人士之手，亦可参考】2019事件响应报告：成功的事件响应基于可见性

2020年1月份，Ponemon发布了一份题为《SOC的经济学：出效果到底要花多少钱》的调研报告。调查表明：SOC花费不菲，效果一般，但意义重大。通过对637份有效问卷【文中未提及地理区域，笔者估计受访者主要是北美地区。此外受访者所在单位人数最低1000人起】的分析，自建SOC的年均支出在286万美元。而令人意外的是，委建SOC（购买MSSP服务）的年均支出达到了444万美元，大幅高出自建SOC，与人们对MSSP的预期完全不符。只有17％的受访者表示他们的MSSP是“高效的”。此外，51%的受访单位对于他们SOC检测攻击的有效性表示满意。而有44％的人表示其SOC的投资回报率正在恶化。尽管SOC的投资回报率平平，但大部分受访者依然将SOC视为其网络安全战略的关键要素，尤其是在降低误报、报告安全情报方面。为了达成效果，SOC十分依赖于专业的分析师去阻断、检测、分析和响应安全事件，而这些专业分析师的成本很高。为了降低人员开支，不少单位转而求助于MSSP，但回头发现花费更多，因而陷入了恶性循环。报告从五个方面进行了详细分析：1）当前SOC现状有31%的受访者表示SOC必不可少，42%的受访者表示SOC十分重要。SOC最重要的用处在于：降低误报（84%）、报告威胁情报（83%）、监控与分析告警（77%）、入侵检测（77%）、自动化和ML的运用（74%），等。SOC最多监控和管理的设备依次是FW/IPS、UTM、IDS、漏扫、抗D、恶意代码防护、其它探针，等。2）人是问题的关键报告显示，人（分析师）是SOC成功的关键，也是SOC支出的大头。67%的受访者表示培训SOC分析师十分重要。同时，SOC运维/分析工程师的雇佣成本很高，受访组织（基本是大型单位）的SOC平均有12个IT安全专家，仅仅是一级分析师的平均薪资就在10万美元每年，其主力薪资（45%）在7.5万~10万美元每年。二级三级可想而知。同时，45%的受访者表示2020年薪酬预计要上涨平均29%。SOC需要的人多、人贵，而招人、育人、留人也难。调查显示，招聘到一个分析师平均耗时3.5个月，培训他/她又要花费3.8个月，但分析师在一个单位的平均供职时间只有27.2个月。此外，人员的流动性也很高。从分析师的角度来看，干的也很辛苦。70％的受访者同意，SOC分析师由于高压环境和工作量而很快就精疲力尽，这也是人员离职的关键原因之一。进一步研究分析师的痛处，则主要在于工作量增加（75％），24/7/365待命（69％），对IT和网络基础架构缺乏可见性（68％），告警太多（65％）和信息超载（65％）。如下图：3）影响SOC成本的关键因素先前提到自建SOC的年均花费是286万美元，这其中有146万美元是直接劳动力成本。此外，被监控目标所在的逻辑位置、所处的行业、SOC自身复杂度、检测攻击的有效性和所在单位的员工人数都会影响到SOC的成本。简单来说，针对本地数据中心进行监控的SOC成本高于移动和云环境的，而针对云/本地混合型进行监控的SOC成本最低；金融行业的SOC成本相对最高；SOC越复杂基本上成本也越高；SOC效果越显著的单位成本也更高；单位人越多基本上成本也会递增。4）委建SOC的问题如前所述，委托MSSP建设SOC的方式其实并不合算，因此，有40%的受访者打算换回自建模式。23%的人打算更换供应商。5）高绩效SOC的特点Ponemon针对637份问卷中134份自认为自己的SOC检测攻击十分有效的划为高绩效SOC单位，然后将这组高绩效SOC单位与整体SOC情况相比较，发现了一些有趣的信息。首先，高绩效SOC单位认为SOC对于整体安全战略的重要性更高；高绩效SOC单位的SOC复杂度略低于整体均值，团队承压性也更好，分析师更稳定，对未来发展向好的预期也更高。【笔者的感想】透过这份报告，尽管分析对象是北美地区，但对我们国内也可以做些类比。且不说自建委建孰优孰劣，对于大型单位而言，建设SOC的年投入成本肯定也是数百万（人民币）级别的。不过，SOC建设成本的占比在整个安全投入的比重肯定还是偏底。而且可以肯定的说，SOC建设成本硬件设备及软件系统的占比十分高，运维人员和分析师的成本占比很低，甚至被忽略了。这就是国内外的一个重大差异。好多年前，我就反复提到过。【譬如参见《信息安全的投资结构》、《安全管理平台不等于SOC！》等笔者早前发表于51CTO的文章】Ponemon的报告至少指明了一点，建设SOC【其实更准确的说应该是运行SOC】人的投入是大头（146除以286大于50%）。除了要关注选取合适的SOC平台和工具，还需要花费大量的精力到使用SOC的人身上：如何建立人员团队体系，如何选人、如何育人，如何用人、如何激励人、如何留人。RSAC2020的主题是“human

SANS发布了一年一度的网络威胁情报(CTI)调研报告。SANS将CTI定义为“满足利益相关者特定需求的、经过分析加工的、有关敌对方能力、机会和意图的信息”（Cyber

2020年2月18日，Gartner终于发布了2019年度的SIEM市场魔力象限分析（MQ）报告，比原定2019年12月底的发布时间推迟了近3个月，拖到了2020年，以至于有人直接将这份报告称作2020年SIEM

1月3日，我所在公司和我本人受邀参加了奇安信主办的奇智威胁情报峰会。本次大会主题是研究“内生威胁情报”。我被安排在“威胁情报下安全体系建设的演进”沙龙环节与主持人和另外4位嘉宾进行共同讨论。针对本次大会的主题，以及参加的这个沙龙的议题，我提前做了一些准备。当然，在沙龙现场，要跟随主持人的节奏和交流讨论的内容来实际进行交流。因而，我感觉我对这个议题的思考并没有在会上充分的表达出来。有鉴于此，这里我将我的思考比较系统地进行陈述。思考的内容是：情报引领的安全体系建设落地。从2001年到现在，我已经从事SOC领域近19年，见证了国内SOC平台的几乎整个发展历程。从最早以资产为核心的SOC，到以业务为核心的SOC，再到后来数据驱动的SOC，包括威胁情报、漏洞情报在内的各种安全情报在SOC中的地位越来越重要，起到了引领作用。通过将外部情报与用户自身安全要素信息的结合，更好地帮助用户做到知己知彼，看见看清自身的整体安全运行状况和安全态势。另一方面，不论是国外的Gartner、SANS调研，还是国内的实践，人们已经达成共识，即情报引领的安全体系在用户侧最佳的落脚点是SIEM、SOC类平台系统，因为这类平台汇聚了用户侧最完整的安全数据，可以进行最全面的碰撞比对和情报决策。因此，可以说，情报引领的安全体系的落地问题，很关键的一环就是情报如何在用户侧的SOC平台类系统上应用起来。而对于安全情报在用户侧落地的场景，我在2016年阿里安全峰会上的发言的时候提到过6个场景，现在看来，依然适用。图：2016年阿里峰会演讲胶片当然，随着技术的不断进步，这些场景的应用价值发挥程度得到了深化。其中，我认为，SOAR已经成为促进情报在用户侧落地的一个重要技术。我们可以进一步从两个情报运用场景中来分析。1、基于威胁情报的事件调查和威胁猎捕。过去，我们在利用威胁情报上，比较多地依赖将用户侧的流量和日志数据与情报进行碰撞比对。事实证明，这种方式存在一定的局限性。如果是高质量、实锤的情报比对还好，但如果大量确定性不是很高的情报直接跟流量和日志比对的话，效率就成问题了，性能是一方面，触发的告警也会变得很多，分析师受不了。因此，改进的方案是先通过其它分析手段发现问题，然后再通过情报比对进行核实和扩线追踪，这时候比对的性能大大提升，情报的指向性也更加明显。此外，在做基于情报的调查和猎捕的时候，情报不是被孤立地利用的，而是要结合用户侧的情境信息，并且要经历多个步骤。借助编排剧本，以及跟各个威胁情报源的API接口和情境数据的获取接口，具备SOAR能力的SOC平台能够协助分析师进行基于威胁情报的事件调查和威胁猎捕，通过把分析师的人脑决策流程编排化，自动化，提升威胁情报利用的效率。可以说，SOAR让基于情报的事件调查与威胁猎捕效率更高了。2、威胁情报的快速有效共享。可以说，威胁情报的利用价值核心就在于情报共享。情报共享的过程就是变他知为我知、变未知为已知的过程。如何让受信的我方最快获悉敌情，是提升安全防护总体效率的关键。情报引领的安全体系建设成效的关键KPI就是情报分享的速度和效能。从技术支撑上来说，我认为传统的SOC或者其它态势感知平台在自动产生高价值内部威胁情报并自动分享情况这块缺少技术支撑，表现不尽人意。仅从情报分享来看，就会涉及到多个环节、多种角色人员，需要多个步骤和冗长的过程。而SOAR的出现，将有可能改变这种局面。借助编排化剧本和开放的APP接口，将可以将内生情报生成以及共享的全过程体系化、流程化、剧本化、自动化。当然，SOAR能做的事情远不止情报利用、调查、生成、共享，它能够将各种安全运维的流程体系化、剧本化。通过将用户侧分散的安全能力API化，功能化、服务化，再通过编排的手段实现软件定义安全运维，并最终实现软件定义的安全体系。最后，简单小结一下：情报引领的安全体系建设在客户侧落地需要借助SOC平台，要将情报与SOC平台紧密结合，要把SOAR融入SOC平台之中，实现可编排的安全运维，并不断提升自动化水平。

2019年8月份，美国国土安全部（DHS）发布了一份RFI（信息邀请书），为下一步DHS自有SOC的安全运营服务外包采购项目征求意见。透过这份RFI，我们可以粗略了解DHS的SOC概况，尤其是通过SOW（工作说明书）的内容，能够让我们一窥DHS

2019年6月，Ponemon发表了一份题为《提升SOC有效性》的调研报告，重点对当前SOC面临的挑战进行了调研，揭示了SOC发挥实际作用所面对的诸多障碍。报告认为，SOC的重要性已经得到认可，但SOC的有效性依然距离期望值较远。Ponemon对SOC的定义是：SOC是一支专业的团队及其支撑这支团队工作的相关设施，这支团队的工作是对安全事件进行阻断、检测、分析与响应。（A

概述2019年7月，SANS发布了第三次SOC调查报告，题为《SOC的通用和最佳实践》。SANS主要针对欧美国家的大中型SOC客户（含MSSP）进行了调研，结果显示：１）通往卓越SOC之路的最大障碍是专业人员的缺失（58%）和缺乏有效的编排与自动化（50%）。２）依照NIST

NSA的网络安全威胁运行中心（NSA

【引言】本文首发于安全牛，这里再次发表时进行了适当的修订，加了点料，并增加了对我现在所在创业公司的介绍，欢迎大家有时间多了解一下盛华安这家专注于大数据安全分析的初创公司。

主动监测邮件系统，并为组织中的最终用户提供一个便捷的上报可疑邮件的通道，促进全员参与，提升安全意识。在技术手段这块，Gartner特别指出ML（机器学习）技术在BEC的应用前景广阔。4.7

2019年3月份，SANS发布了一份有关AI在安全领域应用情况的调研报告，题为《AI让安全更聪明》。调查结果显示，85%的受访者认为AI对安全是有价值的，同时67%的人表示传统的安全工具依然可以发挥作用；应用AI的解决方案的三个最优先的技术是：预测分析、深度学习平台、机器学习平台；AI在安全领域的优选三个场景是：网络防御、恶意软件阻断、高级威胁监测/阻断。首先，SANS给AI做了一个描述性定义：人工智能能够像人一样进行推理和“思考”，同时展现出人类智能的以下关键特征：学习：能根据过去的经验改变行为，例如，在遇到新的和未知的情况时记忆：能对过去d的经验进行编码，存储和检索推理和抽象：根据样本数据推演出逻辑结论并产生/推导出规则解决问题的：系统性地提出可能的解决方案并推导出问题的最优解发散思维：能够针对给定的问题生成多种解决方案接着，SANS又给出了应用AI的安全解决方案应该具备的5个能力：发现：无需人工干预即可从数据中进行学习；预测：基于通过智能发现获得的对数据的理解，提供事情未来发展的多种可能性判断；证明：要能够解释分析结果的可识别性和可信性；这里的证明不是去解释AI所用到的算法和参数，而是为什么会得到这个分析结果，需要结合安全领域知识给出这个结论的成因；行动：按照相应的（安全）业务流程实现AI安全应用的闭环；总结：基于检测和行动的结果持续改进的能力。再下来，SANS给出了一个基于ML的威胁检测参考架构，作为AI安全解决方案的示例。从上往下，这个参考架构分别包括数据获取与特征提取、实时检测、机器学习三个部分。这个架构中我个人认为值得一提的是“特征提取”这个环节。当前业内已经发布了很多各式各样的大数据安全分析架构图，但其中绝大部分对于特征提取都没有提及。实际上，我是很关注这个点的，我认为特侦提取是大数据安全分析的关键环节。特征提取就是建立数据的元模型、并从数据中提取元数据的过程，是后续各种高级安全分析（包括ML、统计建模等）的基础。而元模型的建立恰恰体现了设计者对安全领域知识的掌握程度。调查显示，57%的受访者正在或者打算使用应用了AI的安全解决方案，尽管只有35%的人真正实际用过这类平台。85%的人表示AI有助于提升安全，同时有67%的人认为AI将更多会增强而非替代现有的工具。下表显示了受访者认为AI能够增强安全哪个方面的调研结果：可以看到，AI主要是增强了未知威胁检测的能力，其次有助于提升从感染到修复的效率（更短的MTTD/MTTR）。在被问及AI成熟度的时候，专业安全人员和管理层的观点出现了分歧。前者更倾向于认为基于AI的安全解决方案趋于成熟，而管理层则对此心存疑虑。而他们是真正影响基于AI的安全的投入预算的人。下图显示了阻碍AI在安全领域应用的问题：可见对AI技术的成熟度问题还是首要的忧虑。正如所有此类报告（包括SANS、Ponemon、Gartner）所揭示的那样，AI的落地远非算法本身，输入的数据质量保障、后续的持续调优、高水平的运维人员和分析师都是一个个AI落地需要淌过的坑。对于打算启动基于AI的安全项目的人，SANS给出了几点建议：1）搞清楚自己的应用场景和用例。需求越明确越精准越好，因为现在AI更适合解决特定问题；2）理解数据及其局限性。核心就是数据建模，进一步讲就是要做好数据治理。3）建立对AI的透明度和可信度。透明度就是了解AI算法的工作原理和过程，可信度就是对AI算法得出的结论的信赖程度。我认为这其实就是我们一直提及的AI的可解释性，这对于安全应用十分重要。4）不要低估AI训练所需要的时间。为了获得更准确的结果，用户需要准备更长时间的样本数据，进行更长时间的训练。简言之，不要处处指望立竿见影。5）慎重评估AI技术，多问几个为什么，不要好高骛远，要契合自身实际。最后，SANS指出，What

2019年4月份，Ponemon发布了一份针对美国、英国和亚太地区的调研报告，题意为《在自动化时代如何分配IT安全人员的工作》，重点分析组织在应用自动化和AI之后将如何影响IT安全的人员工作安排。根据这份针对1400多人进行访谈后形成的报告，大体印证了一个我以前就做出的一个判断，即：从中期来看，安全自动化和AI非但不会降低安全对人员的需求，反而会需要更多的人，而且是更高水平的人。人永远是安全的最关键因素，既是最大的脆弱点，也是最重要的生产力。自动化和AI不是取代人，而是让安全人员变得更强，更有效率。以下针对该报告的内容进行进一步说明：1）更多的人相信（40%）安全自动化非但不会降低组织所需的安全人员，还会增加对更高水平的人员（尤其是掌握那些运用自动化技术的人）的需求。对于美国受访者而言，这个观点更为显著（增加：不变：减少

2018年2月初，SANS发布了一年一度的网络威胁情报调研报告。以下是本人的一些理解和内容摘录。报告给出了SANS对CTI的定义：收集、整理和探寻关于对手方的知识。collection,

2019年2月，SANS照例发布了全新年度的CTI（网络威胁情报）现状调研报告。今年的报告更换了主笔分析师。但SANS对CTI的广义定义依然没有变。总体上，SANS认为CTI的应用越发成熟，其发挥的价值也越来越大，CTI的应用正逐步深化。1）报告显示，72%的受访组织生产或消费了CTI，比2017年的60%有显著提升。2）更多的组织开始关注情报报告，但认为将那些情报报告中的有用信息转换为机读情报比较麻烦【笔者注：一方面，现在有一些开源的报告情报信息提取工具；另一方面，情报报告的提供者开始一并提供配套的机读情报】。3）情报价值的发挥越发依赖于与情报与组织的特定相关性，而非泛泛的情报。4）组织越来越关注情报的应用，而非数据的收集和处理。以下摘录笔者感兴趣的部分调研结果：【笔者注：里面有一些数据我觉得前后矛盾，语焉不详，让人摸不清头脑】1）81%的受访者认为CTI对于安全阻断/检测/响应是有价值的如何更加客观地评价CTI的价值？SANS推荐了一个度量指标：有CTI参与的安全事件平均解决时间，并将这个指标与无CTI参与的安全事件平均解决时间进行对比。2）SANS让受访者针对4种使用CTI进行分析的方法进行排序，结果显示IoC排名第一，往后依次是TTP、数字足迹识别、战略分析。也就是说，最主流的使用CTI的方法就是收集和比对IoC（失陷指标）。SANS认为这表明大家对CTI的理解还不够深入，认为将来大家应该逐步将焦点放到TTP上，也就是更加关注威胁的行为和对手方所采用的TTP，譬如对MITRE的ATT&CK就是这类应用的一个实例。3）在情报收集方面，最主要的情报来源还是外部情报，尤其是外部的开源情报，而在针对内部情报收集方面显得不足【而内部情报与组织自身的相关性更高，更有价值，是未来深化的一个方向】4）在利用CTI做什么的问题上，SANS调研了以下使用用例（场景），并表示用例比较分散，尚没有领导性场景。安全运维类的用例居多。5）当前和未来最有价值的威胁情报类型排名：可以看到目前主要发挥价值的CTI是漏洞情报、包括组织品牌/重要个人/IP的威胁告警和攻|击指标、恶意代码和攻|击趋势。跟去年的差不多。同时，对攻|击者的溯源目前价值排在最后，但对其未来的期许排名最高。6）CTI的价值分析，SANS从12个维度来调查CTI的价值。这12个维度也可以认为是CTI的12种价值点。7）SANS还设定了15个维度的指标去调查CTI的满意度，也可以认为是怎样才算一个好的威胁情报的15个方面。8）情报采集处理时最关键的操作有哪些？SANS认为最关键的几个操作包括：信息去重、基于外部公开情报的数据丰富化、基于外部商业情报的数据丰富化、基于内部情报的数据丰富化、恶意代码样本的逆向、情报信息的通用格式标准化（范式化）。9）针对情报管理与集成这部分，SANS的报告依然显示SIEM平台是最主要的手段（82%），其次是与NTA整合（77%），再往后使用电子表格/EMail来管理和CTI，而借助商业TIP（威胁情报平台）（66%）和开源TIP（64%）跟随其后。这个排序跟去年基本一致。欢迎关注本人的微信公众号：专注安管平台

2019年2月11日，Gartner一改过去在年度安全与风险管理峰会上发表10大安全技术/项目的作风，早早发布了2019年的十大安全项目，并表示将在今年的安全与风险管理峰会上具体呈现。因此，这次算是Gartner提前发布预览版吧。2019年的十大安全项目分别是：对比一下历年的10大技术/项目，可以发现，跟2018年相比，前5个项目基本上是沿袭下来了，第6个商业邮件失陷则是在去年的反钓鱼项目基础上做了修订，后4个则是新上榜的。全新上榜的包括暗数据发现、安全事件响应和安全评级服务，而容器安全则是隔年再次上榜。图：历年10大技术/项目特别值得一提的是今年的10大安全项目中终于明确地增加了数据安全方面的项目——暗数据发现。在解读2018年10大安全项目的时候我就在分析老Neil为啥迟迟不考虑数据安全，今年终于有所体现了。一如既往地，Gartner特别强调，客户在考虑上述10大技术之前，一定要考虑到先期的基础安全建设，很多项目都需要建构在基础安全能力达标的情况下。这些基础安全能力包括（但不限于）：1）在系统防护方面，包括采用最新的EPP和统一端点管理（Unified

一直在写一篇关于人工智能和机器学习在网络安全应用现状的文章，由于时间忙，而且这个领域发展太迅速，迟迟没有成稿。借着年初Gartner的分析师Augusoto

down（否则并购干嘛呀），前HPE软件部中国区已经开始散场，加上MicroFocus还有另一款SIEM产品NetIQ（也在SIEM

2018年12月3日，Gartner正式对外发布了2018年SIEM市场魔力象限分析报告。新的市场竞争格局基本成型，SIEM产品越来越注重威胁检测和响应，尤其是新型的检测方法和响应方式。所谓新型检测方法特指UEBA，及其他高级安全分析方法（如NTA、EDR、欺骗、威胁捕猎等）；所谓响应方式特指Gartner提出的SOAR（Security

对抗威胁的技术：这类技术都在Gartner的自适应安全架构的范畴之内，包括CWPP、远程浏览器、欺骗技术、EDR、NTA、MDR、微隔离；2）

Cycle，目前微隔离已经“从失望的低谷爬了出来，正在向成熟的平原爬坡”，但依然处于成熟的早期阶段。在国内已经有以此技术为核心的创业新兴厂商。2.6