最近，在研究安全響應相關領域的內容。剛好在10月底，SANS釋出了一份2018年度的事件響應（IR）調查報告，重點針對美國的中大型使用者現狀進行了一番調研分析。在這份題為《It's Awfully Noisy Out There: Results of the 2018 SANS Incident Response Survey》的報告中，SANS發現IR團隊應對嚴重洩露事件的響應速度比去年有所提升，但仍然面臨多重挑戰。

首先，報告給出了受訪者在過去12個月內發生的安全事件數量的分佈情況：

安全事件發生的中位數在25次左右。

同時，對安全事件進行響應的情況如下：

可以看出，從發現安全事件到響應安全事件存在一個落差。

但是，調查沒有分析按照安全事件型別劃分的事件分佈情況。事實上，對於如何劃分安全事件型別本身就是一個值得斟酌的問題。作為參考，我在《愛因斯坦計劃最新進展（201710）》一文中給出了美國NCCIC的劃分統計方式，他們給出了一種按照***向量的劃分依據。

接下來，SANS分析了安全事件中演化為資料洩露事件的情況。很顯然，SANS認為Incident和breach是兩個有關聯但不同的概念。這點上，SANS跟Verizon的DBIR報告的觀點是一致的。下面是DBIR2018報告中給出的定義：

回到SANS的報告，安全事件演化為資料洩露事件的分佈情況如下圖所示：

有31.4%的受訪者表示Incident沒有導致資料洩露，而有54%的受訪者則表示則導致了。可見資料洩露依然屬於安全事件中較為嚴重的問題。

接下來，SANS分析了導致資料洩露的技術途徑（Components，或者叫Technical Tactics）：

可以看到，首要的原因是惡意程式碼感染（62%），其次是非授權訪問（51%）、敏感資料竊取（43%）、APT***（35%）、內部洩露（30%）、非法提權的內部橫移、破壞性***、資料完整性***、DDoS。

對照一下DBIR2018則將資料洩露的技戰術劃分為：以資料洩露為目標的******（48%）、惡意程式碼（30%）、錯誤或者意外事故（17%）、社會工程學***（17%）、特權濫用（12%）、物理***（11%）。如下：

可以發現，大家的劃分內容還是有很多不同的。SANS更細更偏技術一些，而DIBR則更巨集觀更全面一些。

SANS認為IR流程分為6個部分：準備、識別、遏制、修復/升級、恢復、總結。而整個流程中最重要的三個度量指標分別是：檢測時長（從失陷到識別出失陷）、遏制時長（從發現問題到遏制問題）、修復時長（從遏制問題到修復問題）。【注：我給出的一個定義：檢測時長+遏制時長 = 止損時長】

根據SANS的調查發現，2018年，大部分洩露事件的檢測時長在24小時之內，超過6成的受訪者能在24小時之內完成遏制，75%的能夠在1周內完成修復，均好於去年。

SANS的調查還顯示，在發生資料洩露後，定位失陷系統和失陷使用者是相對比較容易的。定位洩露的資料，搞清楚到底哪些資料洩露了，則相對比較困難一些，卻也還能做到。而定位***源（Threat Actors），搞清楚***者細節則相對困難，40%受訪者表示做不到。

SANS認為，IR應該跟SOC整合到一起，這是未來發展大勢。現實情況中，IR和SOC分離的佔23%。

對於未來，SANS發現，要繼續搞好IR工作，最大的挑戰在於人員技能短缺、工具和技術的預算不足、以及流程問題。而在被問及未來12個月主要打算做哪些投入的時候，受訪者們提及的計劃依次包括：培訓、修復流程自動化、主動的威脅獵捕、改進IR計劃和流程、自動化響應和修復工作流、進行IR桌面推演、藉助SIEM實現更多更自動化的分析和報告。此外還包括提升安全分析與關聯能力、整合TI、加強漏管，等等。