《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > SIEM的昨天,、今天和明天

SIEM的昨天,、今天和明天

2022-11-19
來源:安全牛
關(guān)鍵詞: SIEM

  SIEM(安全信息事件管理)系統(tǒng)的應(yīng)用已經(jīng)超過20年。在此期間,,SIEM由最初的邊界安全事件關(guān)聯(lián)工具逐漸發(fā)展成為企業(yè)網(wǎng)絡(luò)安全治理、風(fēng)險管理以及合規(guī)建設(shè)的重要支撐平臺,。今天,,在很多企業(yè)中,SIEM已經(jīng)成為安全團(tuán)隊日常處理威脅事件的優(yōu)先選項,,不僅可以從IT基礎(chǔ)架構(gòu)中的海量信息資源中收集和分析各種攻擊活動,,同時也是實現(xiàn)安全自動化、DevSecOps,、態(tài)勢感知等安全管理和運(yùn)營技術(shù)的基礎(chǔ),。

  昨天:從日志聚合到安全運(yùn)營

  第一代的SIEM產(chǎn)品誕生于本世紀(jì)初,起初是被作為一種日志聚合的工具,,只是在一些大型頭部企業(yè)使用,,用以解決數(shù)據(jù)孤島的問題,同時還可用于歷史數(shù)據(jù)保留和法律合規(guī)遵從,。最早期的SIEM代表性廠商包括ArcSigh(現(xiàn)隸屬M(fèi)icro Focus)和QRadar(現(xiàn)隸屬IBM)等公司,。

  在第一代SIEM產(chǎn)品中,使用了非?;A(chǔ)的關(guān)聯(lián)引擎,,建立非常簡單的關(guān)聯(lián)規(guī)則,例如“如果看到X,、Y和Z,,就應(yīng)該在工單系統(tǒng)中打開工單,并向安全團(tuán)隊發(fā)送警報”,。由于第一代SIEM產(chǎn)品針對非結(jié)構(gòu)化數(shù)據(jù)的本地處理能力非常薄弱,,可能需要花很長的時間來查詢數(shù)據(jù),并只能獲得事件原因的初步分析,。鑒于技術(shù)原因,,這個時期的SIEM可用性非常糟糕,,甚至給一些客戶留下了花錢買罪受的感受。

  隨著時間的推移,,企業(yè)的數(shù)字化轉(zhuǎn)型快速發(fā)展,,各種安全設(shè)備的運(yùn)營數(shù)據(jù)開始激增,最早期的SIEM產(chǎn)品逐漸跟不上數(shù)據(jù)產(chǎn)生的步伐,,因為其所使用的結(jié)構(gòu)化數(shù)據(jù)庫無法與時俱進(jìn),,而編寫新的解析器需要很長的開發(fā)周期。

  當(dāng)Splunk公司進(jìn)入SIEM市場后,,迅速改變了第一代SIEM廠商的游戲規(guī)則,。該公司研發(fā)了一種靈活而強(qiáng)大的數(shù)據(jù)存儲和搜索引擎,通過索引技術(shù),,可以搜索各種類型的原始數(shù)據(jù)(結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)),,并迅速將數(shù)據(jù)轉(zhuǎn)換成可搜索的事件。這種技術(shù)是一項突破,,因為它使SIEM工具更容易獲取,、搜索、存儲和顯示所有不斷增加的數(shù)據(jù),,并獲得洞察分析能力,。在2012年,Splunk首次作為領(lǐng)導(dǎo)者出現(xiàn)在Gartner 發(fā)布的SIEM魔力象限中,,并在此后的很多年占據(jù)著市場領(lǐng)導(dǎo)者位置,。

  根據(jù)研究機(jī)構(gòu)SANS在2019年研究報告數(shù)據(jù)顯示,截至2018年底,,有超過70%的大型企業(yè)開始依賴SIEM系統(tǒng)來進(jìn)行數(shù)據(jù)關(guān)聯(lián),、安全分析和運(yùn)營。同時,,很多企業(yè)的安全運(yùn)營中心團(tuán)隊圍繞SIEM配備了用于威脅檢測/響應(yīng),、調(diào)查/查詢、威脅情報分析以及流程自動化/編排的其他工具,。SIEM正式發(fā)展成為企業(yè)安全運(yùn)營的發(fā)動機(jī),。

  今天:應(yīng)用成本不斷增加

  當(dāng)以零日攻擊為代表的高級威脅大量出現(xiàn)后,SIEM行業(yè)的競爭格局再一次開始改變,。傳統(tǒng)SIEM系統(tǒng)由于存在難以實現(xiàn)精準(zhǔn)告警,、漏報較為嚴(yán)重等問題,已不是企業(yè)安全運(yùn)營管理的理想選擇,。作為企業(yè)內(nèi)部安全日志的匯聚器,,SIEM的基本功能或許永遠(yuǎn)不會過時,因為本地安全日志始終是最具價值的威脅情報來源,。但安全團(tuán)隊需要盡快升級優(yōu)化SIEM,,配合更多的威脅檢測/響應(yīng),、調(diào)查/查詢、威脅情報分析以及流程自動化/編排等先進(jìn)安全能力,,以實現(xiàn)更加高效,、準(zhǔn)確的安全威脅檢測。

  為了跟上威脅發(fā)展的步伐,,現(xiàn)代的SIEM產(chǎn)品需要更深入地了解所存儲的數(shù)據(jù),,并運(yùn)用更多的網(wǎng)絡(luò)智能技術(shù)來應(yīng)對挑戰(zhàn),用戶和實體行為分析(UEBA)和機(jī)器學(xué)習(xí)技術(shù)應(yīng)運(yùn)而生,。各大安全廠商都積極嘗試將新一代SIEM產(chǎn)品與 UEBA,、安全編排、自動化和響應(yīng) ( SOAR ) 和擴(kuò)展檢測和響應(yīng) ( XDR ) 結(jié)合起來,,以實現(xiàn)更加智能化的威脅檢測和響應(yīng)能力。

  在Gartner最新發(fā)布的2022安全運(yùn)營技術(shù)成熟度曲線中,,對主流的安全運(yùn)營技術(shù)進(jìn)行了分析,。報告認(rèn)為,SIEM技術(shù)已步入穩(wěn)步發(fā)展并趨進(jìn)成熟的階段,,這個分析也正符合市場的現(xiàn)狀,,很多企業(yè)在安全運(yùn)營中已把SIEM作為主要實現(xiàn)平臺。

  從理論上講,,更多的數(shù)據(jù)可以提供更好的洞察力,,但這也容易錯過一些嚴(yán)重的安全威脅,而且還會產(chǎn)生較多誤報,。一旦重要報警與大量誤報信息同時出現(xiàn)時,,就會導(dǎo)致重要報警數(shù)據(jù)淹沒在海量的誤報及非重要報警中,無法立即響應(yīng)真實報警,。

  由于總體安全運(yùn)營數(shù)據(jù)爆炸式增長,,導(dǎo)致SIEM應(yīng)用成本快速增長,每年在SIEM方案升級上的投入讓企業(yè)難以承受,。為了控制應(yīng)用成本,,許多企業(yè)的安全團(tuán)隊必須做出艱難的決定,決定他們實際將多少(以及哪些類型的)數(shù)據(jù)提取到SIEM中進(jìn)行分析,,其余的數(shù)據(jù)只能存儲在沒有處理能力的系統(tǒng)中,,無法及時得到處理和分析,這會帶來巨大的安全風(fēng)險,。

  鑒于SIEM技術(shù)目前的應(yīng)用成本挑戰(zhàn),,企業(yè)組織需要根據(jù)自身的需求,選用更好,、更具成本效益的技術(shù)解決方案,。服務(wù)化的SIEM方案可以實現(xiàn)高度智能化的分析和檢測,,同時價格也更加合理、透明,,這對于很多中小企業(yè),、初創(chuàng)公司和非營利組織來說,是一種比較合適的選擇,。

  微信圖片_20221119172010.png

  明天:SIEM的未來在云端

  根據(jù)Gartner的研究數(shù)據(jù),,全球SIEM產(chǎn)品市場已從從2020年的34.1億美元增長到了2021年的41億美元,取得了20%的增長率,。SIEM市場發(fā)展的主要驅(qū)動因素仍然是檢測,、響應(yīng)、攻擊面管理以及合規(guī),。未來,,企業(yè)希望未來的SIEM產(chǎn)品能夠在寬度和深度兩個方面同時滿足其數(shù)字化業(yè)務(wù)發(fā)展和安全防護(hù)的需要。

  新一代SIEM產(chǎn)品繼續(xù)不斷吸納新的功能,,包括SOAR,、UEBA、TIP,、自服務(wù)安全分析,、持續(xù)威脅內(nèi)容創(chuàng)建、Incident管理等,,這需求SIEM產(chǎn)品進(jìn)一步轉(zhuǎn)變架構(gòu)策略以適應(yīng)客戶需求,,而最終指向就是云化Cloud SIEM(包括云原生化和云托管)。云技術(shù)不僅可以讓SIEM整合更多威脅檢測引擎,,實現(xiàn)更快的運(yùn)營數(shù)據(jù)分析,,還可以有效降低企業(yè)的應(yīng)用成本。

  Gartner分析師認(rèn)為,,Cloud SIEM將會成為未來SIEM產(chǎn)品發(fā)展的首要形態(tài),,這也意味著SIEM的架構(gòu)發(fā)生了重大變化。云化的好處不僅是順應(yīng)云時代和遠(yuǎn)程辦公時代的需要,,更重要的是為了降低SIEM自身的部署和維護(hù)的負(fù)擔(dān),,將重點投入到基于SIEM的安全運(yùn)行上。Cloud SIEM對中小型企業(yè)來說是非常理想的選擇,。

  此外,,對于不想在SIEM上投入太多資源的企業(yè)來說,由托管安全服務(wù)提供商(MSSP)來運(yùn)營SIEM也是一個很好的選擇,。但是首先需要清楚的了解角色和責(zé)任,。總的來說,,未來的云SIEM提供商更多的職責(zé)是初期建設(shè)部署和優(yōu)化完善SIEM產(chǎn)品的功能更新,;MSSP的職責(zé)主要是中后期的威脅場景分析應(yīng)用及事件跟蹤處置,,而企業(yè)用戶只需要提出應(yīng)用需求和確認(rèn)決策。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。