信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”，由：安全牛編譯整理。

今天，SIEM（安全信息事件管理）系統(tǒng)已經(jīng)成為企業(yè)安全團隊日常處理威脅事件的最優(yōu)先選項之一，不僅可以從IT基礎(chǔ)架構(gòu)中的海量信息資源中收集和分析各種攻擊活動，同時也是組織實現(xiàn)安全自動化、DevSecOps、態(tài)勢感知等安全管理和運營技術(shù)的基礎(chǔ)。

然而，隨著以零日攻擊為代表的高級威脅大量出現(xiàn)后，SIEM行業(yè)的競爭格局正在發(fā)生改變。傳統(tǒng)的SIEM系統(tǒng)由于存在難以實現(xiàn)精準告警、漏報較為嚴重等問題，已不是企業(yè)安全運營管理的理想選擇，安全團隊需要在原有SIEM方案功能的基礎(chǔ)上，融合更多的威脅檢測/響應(yīng)、調(diào)查/查詢、威脅情報分析以及流程自動化/編排等先進安全能力，在寬度和深度兩個方面同時滿足其數(shù)字化業(yè)務(wù)發(fā)展和安全防護的需要。

為了跟上企業(yè)的應(yīng)用需求，各大安全廠商都積極推進下一代SIEM產(chǎn)品的研發(fā)，在不斷吸納新的功能同時，并積極嘗試通過云計算技術(shù)，對傳統(tǒng)SIEM產(chǎn)品的設(shè)計架構(gòu)進行云化改造。研究人員表示，當企業(yè)組織開始選型評估下一代SIEM解決方案時，應(yīng)該明確并優(yōu)先考慮以下關(guān)鍵能力指標，以確保SIEM方案切實可以滿足數(shù)字化業(yè)務(wù)穩(wěn)定開展的需求。

1、支持云原生和多云部署

傳統(tǒng)SIEM通常部署在本地數(shù)據(jù)中心設(shè)備上，本地化部署沒有考慮過云計算環(huán)境。隨著企業(yè)云計算應(yīng)用的快速發(fā)展，傳統(tǒng)SIEM本地化部署方案難以保護云端應(yīng)用，也無法解決安全團隊面臨的云端基礎(chǔ)設(shè)施監(jiān)控的挑戰(zhàn)。

研究機構(gòu)Gartner認為，Cloud SIEM將會成為下一代SIEM產(chǎn)品發(fā)展的首要形態(tài)，這也意味著SIEM的設(shè)計架構(gòu)將會發(fā)生重大變化。云化的好處不僅是順應(yīng)云時代和遠程辦公時代的需要，更重要的是為了降低SIEM自身的部署和維護的負擔，將重點投入到基于SIEM的安全運行上。Cloud SIEM對中小型企業(yè)來說更是非常理想的選擇。

2、提供全面可觀察性

傳統(tǒng)的SIEM方案難以在大規(guī)模環(huán)境下整合企業(yè)的所有數(shù)字化應(yīng)用運營數(shù)據(jù)，因此無法實現(xiàn)全面的可觀察性。在數(shù)字化發(fā)展模式下，企業(yè)需要能夠?qū)⒏鞣N數(shù)據(jù)從安全設(shè)備、業(yè)務(wù)應(yīng)用、計算終端和網(wǎng)絡(luò)系統(tǒng)上完整收集起來并匯總到下一代SIEM，這樣才能夠獲得數(shù)字化環(huán)境的完整視圖。

此外，下一代SIEM還需要使用經(jīng)過AI模型訓(xùn)練的機器學(xué)習技術(shù)，攝取更廣泛的非固定數(shù)據(jù)源，讓安全分析工具可以及早識別新型未知攻擊，而不是等待已有的安全規(guī)則被動觸發(fā)。經(jīng)過訓(xùn)練的機器學(xué)習檢測模型可以有效地發(fā)現(xiàn)新的攻擊和傳統(tǒng)攻擊的新變種。

3、支持大數(shù)據(jù)架構(gòu)

傳統(tǒng)SIEM的主要痛點之一就是難以對快速增長的數(shù)據(jù)信息進行有效采集和分析處理，不僅處理效率低下，而且還會生成大量誤報。因此，下一代SIEM應(yīng)建立在大數(shù)據(jù)平臺上，不但能夠快速處理企業(yè)數(shù)字化發(fā)展種產(chǎn)生的海量數(shù)據(jù)，并且可以更加經(jīng)濟的方式長期存儲和使用數(shù)據(jù)。對于安全運營團隊來說，實現(xiàn)統(tǒng)一的大數(shù)據(jù)架構(gòu)，可以幫助他們快速獲取所需信息，從而增強搜索與安全相關(guān)的威脅信息并進行持續(xù)的監(jiān)控和分析。這種能力輔以第三方威脅情報源，就可以有效增強對高級威脅攻擊的檢測能力。

4、自動化檢測與分析能力

傳統(tǒng)的SIEM方案會生成大量的安全警報，這樣很容易讓安全運營團隊產(chǎn)生“預(yù)警疲勞”。因此，下一代SIEM需要幫助人手不足以及工作負載過重的運營人員，通過更加細致的數(shù)據(jù)分析以及自動化檢測能力，將安全預(yù)警與真正需要關(guān)注的安全事件聯(lián)系起來。

此外，傳統(tǒng)SIEM方案在創(chuàng)建新的檢測規(guī)則時，需要大量的人工手動操作，這樣低效地創(chuàng)建與分析模式也難以應(yīng)對快速變化的安全威脅。下一代SIEM需要能夠提供自動化的安全分析策略，通過威脅類型和安全場景對安全分析內(nèi)容進行歸類，用戶可以快速地對其特定安全分析需求進行靈活部署，并且通過自動化規(guī)則創(chuàng)建和信息共享，應(yīng)對快速變化的安全威脅形勢。

5、威脅優(yōu)先級分析

傳統(tǒng)的SIEM方案通常只是將風險級別與攻擊階段進行關(guān)聯(lián)，為每個攻擊階段提供基礎(chǔ)的攻陷指標分析，這樣就會造成一些后果嚴重的安全事件告警被淹沒，安全運營人員無法確認其收到的告警是否有價值，需要在多個關(guān)聯(lián)平臺中，多次進行手工查詢與分析。

在下一代SIEM解決方案中，應(yīng)該通過添加額外的上下文數(shù)據(jù)來豐富完善告警信息，包括用戶、資產(chǎn)、IP地址、地理位置、威脅情報、漏洞掃描結(jié)果等信息。通過豐富的上下文信息，安全分析人員可以快速了解威脅告警的嚴重性以及優(yōu)先級，實現(xiàn)安全防護資源的最大化利用。

6、實時的威脅事件響應(yīng)

傳統(tǒng)的SIEM一直存在“弱檢測，無響應(yīng)”問題，但檢測識別威脅只是開始，快速響應(yīng)并應(yīng)對威脅才至關(guān)重要。下一代SIEM應(yīng)具備自動化的威脅事件響應(yīng)能力，能夠創(chuàng)建符合安全行業(yè)最佳實踐的響應(yīng)流程，與廣泛的第三方產(chǎn)品與工具進行緊密集成，采取一系列明確操作進行響應(yīng)處置，并給出應(yīng)該采取的行動建議。此外，下一代SIEM需要能夠確定各個響應(yīng)措施的優(yōu)先級，以便盡量減少業(yè)務(wù)中斷，并為針對性響應(yīng)提供最優(yōu)化流程。

7、支持法律合規(guī)

相比傳統(tǒng)SIEM解決方案，下一代SIEM的一個重要改進就是更好地幫助企業(yè)合規(guī)。這種能力可以通過支持企業(yè)組織開展集中式合規(guī)審計和風險報告來實現(xiàn)的。下一代SIEM應(yīng)該為各種重要的合規(guī)要求和行業(yè)安全標準提供管理支持和報告機制，比如《健康保險可攜性及責任性法案》（HIPAA）、《支付卡行業(yè)數(shù)據(jù)安全標準》（PCI DSS）、《薩班斯法案》（SOX）、NIST標準、GDPR和MITRE攻擊框架等各項管理性法規(guī)或制度。