今天,SIEM(安全信息事件管理)系統(tǒng)已經(jīng)成為企業(yè)安全團隊日常處理威脅事件的最優(yōu)先選項之一,不僅可以從IT基礎(chǔ)架構(gòu)中的海量信息資源中收集和分析各種攻擊活動,同時也是組織實現(xiàn)安全自動化、DevSecOps、態(tài)勢感知等安全管理和運營技術(shù)的基礎(chǔ)。
然而,隨著以零日攻擊為代表的高級威脅大量出現(xiàn)后,SIEM行業(yè)的競爭格局正在發(fā)生改變。傳統(tǒng)的SIEM系統(tǒng)由于存在難以實現(xiàn)精準(zhǔn)告警、漏報較為嚴(yán)重等問題,已不是企業(yè)安全運營管理的理想選擇,安全團隊需要在原有SIEM方案功能的基礎(chǔ)上,融合更多的威脅檢測/響應(yīng)、調(diào)查/查詢、威脅情報分析以及流程自動化/編排等先進安全能力,在寬度和深度兩個方面同時滿足其數(shù)字化業(yè)務(wù)發(fā)展和安全防護的需要。
為了跟上企業(yè)的應(yīng)用需求,各大安全廠商都積極推進下一代SIEM產(chǎn)品的研發(fā),在不斷吸納新的功能同時,并積極嘗試通過云計算技術(shù),對傳統(tǒng)SIEM產(chǎn)品的設(shè)計架構(gòu)進行云化改造。研究人員表示,當(dāng)企業(yè)組織開始選型評估下一代SIEM解決方案時,應(yīng)該明確并優(yōu)先考慮以下關(guān)鍵能力指標(biāo),以確保SIEM方案切實可以滿足數(shù)字化業(yè)務(wù)穩(wěn)定開展的需求。
【資料圖】
1、支持云原生和多云部署傳統(tǒng)SIEM通常部署在本地數(shù)據(jù)中心設(shè)備上,本地化部署沒有考慮過云計算環(huán)境。隨著企業(yè)云計算應(yīng)用的快速發(fā)展,傳統(tǒng)SIEM本地化部署方案難以保護云端應(yīng)用,也無法解決安全團隊面臨的云端基礎(chǔ)設(shè)施監(jiān)控的挑戰(zhàn)。
研究機構(gòu)Gartner認(rèn)為,Cloud SIEM將會成為下一代SIEM產(chǎn)品發(fā)展的首要形態(tài),這也意味著SIEM的設(shè)計架構(gòu)將會發(fā)生重大變化。云化的好處不僅是順應(yīng)云時代和遠(yuǎn)程辦公時代的需要,更重要的是為了降低SIEM自身的部署和維護的負(fù)擔(dān),將重點投入到基于SIEM的安全運行上。Cloud SIEM對中小型企業(yè)來說更是非常理想的選擇。
2、提供全面可觀察性傳統(tǒng)的SIEM方案難以在大規(guī)模環(huán)境下整合企業(yè)的所有數(shù)字化應(yīng)用運營數(shù)據(jù),因此無法實現(xiàn)全面的可觀察性。在數(shù)字化發(fā)展模式下,企業(yè)需要能夠?qū)⒏鞣N數(shù)據(jù)從安全設(shè)備、業(yè)務(wù)應(yīng)用、計算終端和網(wǎng)絡(luò)系統(tǒng)上完整收集起來并匯總到下一代SIEM,這樣才能夠獲得數(shù)字化環(huán)境的完整視圖。
此外,下一代SIEM還需要使用經(jīng)過AI模型訓(xùn)練的機器學(xué)習(xí)技術(shù),攝取更廣泛的非固定數(shù)據(jù)源,讓安全分析工具可以及早識別新型未知攻擊,而不是等待已有的安全規(guī)則被動觸發(fā)。經(jīng)過訓(xùn)練的機器學(xué)習(xí)檢測模型可以有效地發(fā)現(xiàn)新的攻擊和傳統(tǒng)攻擊的新變種。
3、支持大數(shù)據(jù)架構(gòu)傳統(tǒng)SIEM的主要痛點之一就是難以對快速增長的數(shù)據(jù)信息進行有效采集和分析處理,不僅處理效率低下,而且還會生成大量誤報。因此,下一代SIEM應(yīng)建立在大數(shù)據(jù)平臺上,不但能夠快速處理企業(yè)數(shù)字化發(fā)展種產(chǎn)生的海量數(shù)據(jù),并且可以更加經(jīng)濟的方式長期存儲和使用數(shù)據(jù)。對于安全運營團隊來說,實現(xiàn)統(tǒng)一的大數(shù)據(jù)架構(gòu),可以幫助他們快速獲取所需信息,從而增強搜索與安全相關(guān)的威脅信息并進行持續(xù)的監(jiān)控和分析。這種能力輔以第三方威脅情報源,就可以有效增強對高級威脅攻擊的檢測能力。
4、自動化檢測與分析能力傳統(tǒng)的SIEM方案會生成大量的安全警報,這樣很容易讓安全運營團隊產(chǎn)生“預(yù)警疲勞”。因此,下一代SIEM需要幫助人手不足以及工作負(fù)載過重的運營人員,通過更加細(xì)致的數(shù)據(jù)分析以及自動化檢測能力,將安全預(yù)警與真正需要關(guān)注的安全事件聯(lián)系起來。
此外,傳統(tǒng)SIEM方案在創(chuàng)建新的檢測規(guī)則時,需要大量的人工手動操作,這樣低效地創(chuàng)建與分析模式也難以應(yīng)對快速變化的安全威脅。下一代SIEM需要能夠提供自動化的安全分析策略,通過威脅類型和安全場景對安全分析內(nèi)容進行歸類,用戶可以快速地對其特定安全分析需求進行靈活部署,并且通過自動化規(guī)則創(chuàng)建和信息共享,應(yīng)對快速變化的安全威脅形勢。
5、威脅優(yōu)先級分析傳統(tǒng)的SIEM方案通常只是將風(fēng)險級別與攻擊階段進行關(guān)聯(lián),為每個攻擊階段提供基礎(chǔ)的攻陷指標(biāo)分析,這樣就會造成一些后果嚴(yán)重的安全事件告警被淹沒,安全運營人員無法確認(rèn)其收到的告警是否有價值,需要在多個關(guān)聯(lián)平臺中,多次進行手工查詢與分析。
在下一代SIEM解決方案中,應(yīng)該通過添加額外的上下文數(shù)據(jù)來豐富完善告警信息,包括用戶、資產(chǎn)、IP地址、地理位置、威脅情報、漏洞掃描結(jié)果等信息。通過豐富的上下文信息,安全分析人員可以快速了解威脅告警的嚴(yán)重性以及優(yōu)先級,實現(xiàn)安全防護資源的最大化利用。
6、實時的威脅事件響應(yīng)傳統(tǒng)的SIEM一直存在“弱檢測,無響應(yīng)”問題,但檢測識別威脅只是開始,快速響應(yīng)并應(yīng)對威脅才至關(guān)重要。下一代SIEM應(yīng)具備自動化的威脅事件響應(yīng)能力,能夠創(chuàng)建符合安全行業(yè)最佳實踐的響應(yīng)流程,與廣泛的第三方產(chǎn)品與工具進行緊密集成,采取一系列明確操作進行響應(yīng)處置,并給出應(yīng)該采取的行動建議。此外,下一代SIEM需要能夠確定各個響應(yīng)措施的優(yōu)先級,以便盡量減少業(yè)務(wù)中斷,并為針對性響應(yīng)提供最優(yōu)化流程。
7、支持法律合規(guī)相比傳統(tǒng)SIEM解決方案,下一代SIEM的一個重要改進就是更好地幫助企業(yè)合規(guī)。這種能力可以通過支持企業(yè)組織開展集中式合規(guī)審計和風(fēng)險報告來實現(xiàn)的。下一代SIEM應(yīng)該為各種重要的合規(guī)要求和行業(yè)安全標(biāo)準(zhǔn)提供管理支持和報告機制,比如《健康保險可攜性及責(zé)任性法案》(HIPAA)、《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》(PCI DSS)、《薩班斯法案》(SOX)、NIST標(biāo)準(zhǔn)、GDPR和MITRE攻擊框架等各項管理性法規(guī)或制度。
標(biāo)簽: