Enterprise Strategy Group |了解更重要的事实 ™ ESG 资深首席分析师 Jon Oltsik ， 2016 年8 月网络安全监控趋势 所有商标名称均为其各自所有者的财产。本出版物中包含的信息均通过 Enterprise Strategy Group (ESG) 认为可靠的来源获得， 但ESG 并不为此提供担保。本出版物可能包含 ESG 的观点，这些观点可能随着时间的推移而发生变化。本出版物的版权归 The Enterprise Strategy Group, Inc. 所有。未经 The Enterprise Strategy Group, Inc. 明确同意，任何向未获授权人员复制或分 发本出版物全部或部分内容的行为（无论采用印刷、电子形式还是其他形式）均违反美国版权法，并将受到民事损害赔偿和刑 事检控（如果适用）的制裁。如有任何疑问，请致电 508.482.0188 联系 ESG 客户关系部门。 本ESG 研究演示由思科委托，并在 ESG 许可下发布。目录 执行摘要 …………………………………………………………………………………………………………… ..3 网络安全监控情景 分析 ……………………………………………………………………………………… .4 网络安全监控 ：至关重要 但充满挑战………………………………………………………………… .7 网络安全监控未来战略 ……………………………………………………………………………………… .11 更重要的事实 ………………………………………………………………………………………………… ......12 © 2016 Enterprise Strategy Group, Inc.执行摘要 2016 年，思科系统公司委托 Enterprise Strategy Group (ESG) 对200 名了解或负责其组织内网络安全和安全 分析的 IT 及网络安全专业人员进行调查研究。74% 的受访者声称他们直接参与购买网络安全产品，而其余 26% 的受访者表示他们能够影响网络安全产品的采购。 调查受访者位于北美地区，来自不同规模的公司：25% 的受访者就职于员工数量达到 3000- 4999 人的组织， 31% 的受访者就职于员工数量达到 5000- 9999 人的组织， 18% 的受访者效力于员工数量达到 10000- 19999 人 的组织， 27% 的受访者为拥有 20000 名及以上员工的组织工作。受访者包括来自各个行业和政府部门的人 员，参与人次最多的行业包括制造业 (19%)、金融服务业（银行、证券、保险等） (13%)、信息技术业 (12%)、 医疗卫生业 (11%) 和零售 /批发业 (11%)。注意：由于四舍五入的原因，本报告所含数字的总计可能不会达到 100％。 该研究项目旨在评估当前大家在实施与人员、流程和技术相关的网络安全监控时采取的做法和遇到的难题。 此外，受访者还被问及他们未来将采取何种战略规划不断增强网络安全监控实践。根据收集到的数据，本 文得出了以下结论： 大家已充分理解网络安全遥测技术的价值 。调查受访者表示，他们将网络安全监控运 用于各种情景中，其中包括“搜寻”恶意活动、检测安全漏洞及自动执行补救任务。 网络安全专业人员也意识到，网络安全监控的成功取决于安全团队与网络运营团队之 间的奋力合作，并认识到未来的网络安全监控工作必须扩展到云。总而言之，网络安 全专业人员似乎能够意识到网络安全监控的价值，并对如何提高网络安全性有明确的 想法。 大型组织会收集大量网络安全数据，并对其进行处理和分析。 要实现网络安全监控， 就必须大量地收集、处理和分析数据源（包括防火墙日志、 VPN 日志、来自网络设备 的日志和代理日志）。通常，网络安全监控数据可在线保留 60 天以上，并且 10% 的组 织会将这些数据在线保留一年或更长时间。这些数据的总量是非常大的，如果要实现它们的价值，就必须使数据形成结构，并对其进行有效整理。 网络安全监控实践仍然问题重重。 大多数 (72%) 组织认为，过去两年里，由于恶意软 件数量、网络流量以及恶意软件复杂性的增加等种种原因，导致攻击者能够避开传统 的网络安全控制实施攻击，从而使网络安全监控变得越来越困难。更糟糕的是，大型 组织还报告了一些网络安全监控挑战，其中包括网络盲点、网络安全团队与网络运营 团队之间的沟通问题以及及时数据收集相关的问题。鉴于这一系列问题，在某些情况 下，网络安全监控并不像预期的那样有效或高效。 © 2016 Enterprise Strategy Group, Inc . 3 CISO 为未来几年制定了积极的网络安全监控计划。 绝大多数 (91%) 组织计划在未来两年内 增加网络安全监控方面的开支。此外， CISO 还制定了大量网络安全监控计划，其中包括加 强网络安全培训、将网络安全监控与其他网络和安全技术相集成，以及投资新的网络安全 监控工具。 基于此项目中收集和分析的研究数据， ESG 认为网络安全监控正处于转型期间。大型组织必须转向用于集成并 提供内置情报的网络安全监控架构。 网络安全监控情景分析 ESG 研究结果显示，80% 的调查受访者表示，网络安全监控对其组织的整体网络安全战略至关重要，而 17% 的调查受访者表示，网络安全监控对其组织的整体网络安全战略非常重要（但并不至关重要）。为什 么网络安全监控如此重要？因为它是许多用例和目标不可或缺的一部分。例如， 42% 的受访者表示，他们 最重要的网络安全监控目标是主动查询网络或“搜寻”可疑行为， 35% 的受访者使用网络安全监控来检测 安全漏洞， 34% 的受访者的目标是使用基于网络的威胁检测自动执行补救任务（见图 1）。鉴于以上各种 安全用例，网络安全监控可以说是网络安全的基础技术。 图1 最重要的网络安全监控目标 关于通过监控网络活动来实现安全，您认为对您的组织来说，下列哪项是最重要的目标？（受访者百分比， N=200，可选三项） © 2016 Enterprise Strategy Group, Inc . 417%18%19%21%24%25%25%29%34%35%42% 启用持续监控以实现风险管理对网络安全监控工具生成的安全警报进行创建和自动化操作使用基于网络的威胁检测自动执行补救任务检测可能表示存在安全漏洞的网络流量主动查询网络的安全数据和/ 或“搜寻”可疑行为 捕获合规性/IT 审计所需的数据 了解网络，为未来的网络和网络安全要求制定更好的战略计划 监控网络行为，以实现或优化安全控制 使用可视性和行为数据更有效地对网络进行分段并监控策略和访问 捕获并保留调查分析数据，以备未来某个时候进行历史安全调查时使用为“正常”行为设立基准ESG 数据还显示，网络安全监控涵盖了许多有助于检测和响应异常网络行为的技术。当被问及哪种技术发挥的 作用最大时，超过一半 (52%) 的受访者表示是防火墙日志，27% 的受访者认为是终端调查分析数据，另外 26% 的受访者认为是来自终端和服务器的日志数据。此处还值得一提的是网络监控的作用 -24% 的受访者指出是完 整数据包捕获，而 20% 的受访者提到网络遥测数据（见图 2）。71% 的组织将网络安全监控数据在线保留 60 天或更长时间，而 10% 的组织将数据在线保留一年以上。此外，25% 的组织认为，将网络安全监控数据在线 保留更长的时间会很有益处。 鉴于不同组织的不同做法，大型组织应寻找可以收集、处理和分析来自众多数据源的数据的网络安全监控技 术。此外， CISO 还希望与此类网络安全监控供应商合作：他们具有成熟的生态系统，能够与业界合作伙伴进 行协调，并将不同的工具整合到集成网络安全解决方案中。 图2 最重要的网络监控数据源 在您的组织目前收集的所有网络监控数据源中，哪些最能帮助您的组织检测并响应正在发生的异常网络行 为和 /或网络攻击？（受访者比例， N=200，可选多项） 11% © 2016 Enterprise Strategy Group, Inc . 516% 15%20% 20% 20% 19%22% 21%24% 23%23%27% 26% 26%52% DHCP 日志Web 信誉威胁情报DNS 查询/响应日志网络遥测代理日志IDS/IPS 警报IP 信誉威胁情报来自网络设备的日志文件完整数据包捕获VPN 日志来自终端和服务器的日志文件终端调查分析数据防火墙日志 Active Directory 日志 由网络中部署的防恶意软件沙盒提供的日志文件和其他数据 由云服务提供商提供的网络元数据ESG发现，网络安全和 IT专业人员受访者对网络安全监控技术和其组织的整体网络安全监控状况持有一些 强烈的意见 （见图 3）。例如： 92% 的受访者强烈同意或同意，网络安全监控取决于网络安全人员与网络和/ 或IT 运 营人员之间强有力的沟通和协作。这反映了要实现成功的事件响应 (IR)，负责检测安 全问题的小组（即安全分析师、调查分析员、 SOC 人员等）就必须与负责通过实际技 术补救问题的小组（即 IT/网络管理员、网络运营人员等）之间建立有效的工作关系。 有鉴于此，网络安全监控工具应同时满足安全团队和网络运营团队的各种要求。92% 图3 对于网络安全监控的意见 请在每行中选出一个最能体现您对每项表述的意见的答案。（受访者百分比， N=200） 2%1%1%1% 3%1% 0% 20% 40% 60% 80% 100%当前，我的组织所使用的工具和技术在一定程度上限制了其在监 控网络安全方面的能力与