信息化觀察網(wǎng)

本文來自數(shù)世咨詢，作者/nana。

企業(yè)網(wǎng)絡安全世界風云變幻。身處這么一個不斷變化的環(huán)境，安全人員需要部署越來越復雜的工具和技術，借以對抗花樣不斷翻新的惡意黑客。如今，企業(yè)的運營環(huán)境比以往任何時候都更具挑戰(zhàn)，安全信息與事件管理（SIEM）平臺的作用不可或缺。此類平臺可以幫助安全分析師了解和處理企業(yè)環(huán)境中的安全事件。隨著威脅愈趨嚴重和普遍，SIEM平臺的職能也已大大擴展。

Core Security發(fā)布的《2022年SIEM報告》探討了SIEM市場上的最新趨勢、關鍵挑戰(zhàn)和解決方案偏好。

SIEM的重要性

符合當下全世界的擔憂和行業(yè)困境，報告揭示了不斷惡化的威脅環(huán)境：僅54%的受訪者對自身安全態(tài)勢稍微有點信心。與去年同期相比，總體信心下降了3個百分點。

需要注意的是，大多數(shù)積極使用SIEM平臺的企業(yè)對自身安全態(tài)勢更具信心（60%），而根本沒有使用SIEM的那些企業(yè)則有46%對其安全不自信。這種情況進一步反映出SIEM不僅能提升安全能力，還能有效提高士氣。

作為主要檢測機制，SIEM繼續(xù)在威脅處理中發(fā)揮關鍵作用，既應用于威脅應對，也應用于事后取證。而被問及SIEM重要性時，受訪企業(yè)中80%都聲稱SIEM對其安全態(tài)勢而言極其重要?，F(xiàn)代SIEM解決方案似乎已經(jīng)能更好地識別出日益增長的數(shù)據(jù)流和敵意中隱藏的潛在威脅。

采用、集成和交付趨勢

各個行業(yè)的SIEM采用率均穩(wěn)步上升，超過30%的受訪企業(yè)計劃在不久的將來實現(xiàn)SIEM。面對爆炸式增長的數(shù)據(jù)量和日益分散的端點，企業(yè)逐漸意識到擁有強大SIEM平臺處理其安全運營的重要性。

同時，SIEM部署情況反映出IT世界的一個大趨勢。企業(yè)現(xiàn)在更喜歡混合配置或作為服務交付的SIEM部署?？梢詮膬蓚€方面觀測到這一趨勢。一方面，純本地部署日漸減少。另一方面，作為服務交付的SIEM和混合配置的SIEM解決方案都在增長。

此外，企業(yè)也越來越多地將入侵檢測和防御系統(tǒng)（IDS/IPS）、下一代防火墻（NGFW），以及事件和審計日志相關應用集成到其SIEM邊緣，從而更好地保護企業(yè)邊界。

SIEM的性能與效果

時光流逝，SIEM解決方案歷經(jīng)發(fā)展，如今擁有了更好的威脅情報功能、更高的自動化程度，與其他安全套件的集成也更加緊密。在種種可用功能的加持下，現(xiàn)代SIEM各方面表現(xiàn)上佳，85%的受訪企業(yè)表示，自家SIEM平臺可有效識別和緩解威脅。絕大多數(shù)受訪SIEM用戶報告稱，SIEM幫助增強了其威脅檢測能力（81%）；另有84%的受訪企業(yè)則表示，使用SIEM平臺后安全漏洞明顯減少。

上述所有指標無不表明這些年來使用SIEM的明顯收益，反映出盡管威脅形勢不斷惡化，SIEM平臺的功能卻在增強。

SIEM的好處和用例

作為現(xiàn)代安全運營中心（SOC）的基本要素之一，SIEM平臺帶來了諸多好處。從自動化威脅模式分析，到增強合規(guī)與報告，SIEM平臺對大大小小的企業(yè)都非常有用。但是，其主要功能一直都是無縫整合安全信息管理（SIM）和安全事件管理（SEM）功能，從而增強整體風險管控。貼合這一職能，受訪企業(yè)報告稱，跨多系統(tǒng)與應用的事件數(shù)據(jù)分析與管理、威脅發(fā)現(xiàn)，以及用戶活動監(jiān)測，是SIEM平臺最為重要的用例。

基于自身真實企業(yè)經(jīng)驗，業(yè)內人士表示，企業(yè)采用SIEM平臺的主要好處如下：

●提升安全運營效率（21%）

●提高安全事件檢測與響應速度（14%）

●擴大威脅可見性（13%）

改善合規(guī)情況、通過自動化減輕員工工作負擔、優(yōu)化威脅分析，以及威脅數(shù)據(jù)管理，也是SIEM平臺帶來的一些其他好處。

只要精準集成和微調，現(xiàn)代解決方案往往能大幅縮短宕機時間。超過75%的受訪企業(yè)證實了這些解決方案的有效性，表示其SIEM能夠在數(shù)小時內檢測到潛在安全事件，其中半數(shù)企業(yè)甚至能夠在幾分鐘內檢測到這些事件。從未授權訪問到Web應用攻擊，SIEM技術有效檢測幾乎所有攻擊類型的結果明顯優(yōu)于去年，表明行業(yè)近期在威脅檢測能力方面取得了進步。

推動SIEM采購決策因素

《2022年SIEM報告》的另一關鍵發(fā)現(xiàn)揭示了企業(yè)采購行為背后的思考過程和動機。面對選擇SIEM解決方案的重要任務，企業(yè)首先根據(jù)成本來評估備選項，然后考慮產(chǎn)品性能和有效性，最后考察產(chǎn)品特性和功能。與上一年相比，成本和產(chǎn)品性能/有效性愈發(fā)受到企業(yè)的重視，而對特性和功能的重視程度則略微下滑了一點。

評估SIEM功能時，企業(yè)最重視的要素依次是實時分析和潛在威脅告警、威脅情報集成，以及關聯(lián)事件形成有用信息。

企業(yè)面臨的挑戰(zhàn)

盡管SIEM平臺可帶來諸多好處，但企業(yè)想要完全實現(xiàn)其平臺的價值卻面臨許多障礙。報告表明，缺乏熟手有效運行SIEM依然是最大的挑戰(zhàn)（41%）。盡管人才短缺是行業(yè)通病，但值得注意的是，近半數(shù)企業(yè)都面臨類似的困境。而且，由于企業(yè)希望填補這一人力缺口，人才短缺可能也會助推作為服務提供的托管解決方案。接下來的兩個挑戰(zhàn)則是處理過多誤報（37%）和預算不足（34%），分別凸顯出配置與微調的困難，以及平衡IT安全預算分配的困境。

SIEM的未來

網(wǎng)絡攻擊越來越常見和頻繁，SIEM平臺繼續(xù)在威脅管理方面發(fā)揮不可或缺的作用。對于安全和風險管理人員來說，SIEM平臺可以提供全面且可操作的洞見，幫助防止安全事件和減少業(yè)務中斷。如今，隨著人工智能、自動化和機器學習不斷推動尖端SIEM創(chuàng)新，企業(yè)可以在不受噪音干擾的情況下實時獲得其整個數(shù)字生態(tài)系統(tǒng)的準確警報，精準了解其用戶、應用程序、數(shù)據(jù)庫和云環(huán)境的威脅態(tài)勢。