2019年安全分析与安全智能调研报告

xx年10月份，紧接着xx年度日志管理调研报告（logmanagementsurvey），sans又发布了xx年度的安全分析与智能调研报告（analyticsandintelligencesurveyxx）。

sans认为，安全分析与日志管理逐渐分开了，当下主流的siem/安管平台厂商将目光更多地聚焦到了安全分析和安全智能上，以实现所谓的下一代siem/安管平台。而安全分析和安全智能则跟bda（大数据分析）更加密切相关。

sans对安全智能的定义采纳了gartner的定义。而安全智能（securityintelligence）这个词的最早定义就来自于gartner的fellow——约瑟夫.费曼（xx年的报告——《准备企业安全智能的兴起》）。这，在xx年的日志分析调查报告中明确指出来了：企业安全智能包括对企业的it系统中所有跟安全相关的数据的收集，以及安全团队的知识和技能的运用，从而达成风险消减的目的。

今年，sans对安全分析（securityanalytics，或者叫安全数据分析，数据分析）给出了一个自己的定义：

thediscovery（throughvariousanalysistechniques）andcommunication（suchasthroughvisualization）ofmeaningfulpatternsorintelligenceindata.【对数据中有意义的模式或者情报（通过多种分析技术）进行发现和沟通（例如通过可视化方式）】

sans还追溯了一下安全分析的起源，其实早在1986年就正式出现了。从最早的ids，到后来的siem，再到现在的安全智能，形成了一条安全分析的发展时间线。

关于安全智能，sans做了一个脚注，就是安全智能不是自动化的机器智能，还需要训练有素安全分析师的参与。

报告中，sans还给威胁情报下了一个定义：threatintelligenceisthesetofdatacollected，assessedandappliedregardingsecuritythreats，maliciousactors，exploits，malware，vulnerabilitiesandcompromiseindicators.