安全信息和事件管理(SIEM)起源于日志管理，但它比事件管理發(fā)展得更強(qiáng)。現(xiàn)在的SIEM軟件提供商也引入了機(jī)器學(xué)習(xí)、高級(jí)統(tǒng)計(jì)分析等分析方法。

SIEM軟件是什么？

SIEM軟件可以為企業(yè)安全人員提供洞察力，并跟蹤其信息技術(shù)環(huán)境中的活動(dòng)記錄。

SIEM技術(shù)已經(jīng)存在了十幾年，最早是從日志管理發(fā)展而來的。它將實(shí)時(shí)分析日志和事件數(shù)據(jù)以提供威脅監(jiān)控、事件關(guān)聯(lián)和事件響應(yīng)的安全事件管理(SEM)與收集、分析和報(bào)告日志數(shù)據(jù)的安全信息管理(SIM)相結(jié)合。

SIEM的運(yùn)行機(jī)制是什么

SIEM軟件收集并匯總公司所有技術(shù)基礎(chǔ)設(shè)施生成的日志數(shù)據(jù)。數(shù)據(jù)源包括主機(jī)系統(tǒng)和應(yīng)用程序，以及防火墻和軟件過濾器等網(wǎng)絡(luò)和安全設(shè)備。

收集數(shù)據(jù)后，SIEM軟件開始識(shí)別和分類事件并對(duì)其進(jìn)行分析。該軟件的主要目標(biāo)有兩個(gè):

1.生成安全相關(guān)事件的報(bào)告，例如成功/失敗的登錄、惡意軟件活動(dòng)和其他可能的惡意活動(dòng)。

2.如果分析顯示某個(gè)活動(dòng)違反了預(yù)定義的規(guī)則集，并且存在潛在的安全問題，則會(huì)發(fā)出警報(bào)。

企業(yè)對(duì)更好的合規(guī)管理的需求是早期采用該技術(shù)的主要驅(qū)動(dòng)力。審核員需要檢查是否符合規(guī)定，SIEM提供符合HIPPA、SOX、PCI DDS等強(qiáng)制性要求的監(jiān)控和報(bào)告功能。但專家表示，近年來，企業(yè)對(duì)更好的安全措施的需求是SIEM市場更大的驅(qū)動(dòng)力。

"

如今，大型企業(yè)通常將SIEM作為支持安全運(yùn)營中心(SOC)的基礎(chǔ)。

分析和情報(bào)

在安全操作中使用SIEM軟件的主要驅(qū)動(dòng)因素之一是市場上許多產(chǎn)品中包含的新功能。除了傳統(tǒng)的日志數(shù)據(jù)，許多SIEM技術(shù)還引入了威脅情報(bào)饋送，許多SIEM產(chǎn)品具有安全分析功能，不僅可以監(jiān)控網(wǎng)絡(luò)行為，還可以監(jiān)控用戶行為，并可以提供更多關(guān)于某個(gè)操作是否惡意的情報(bào)。

事實(shí)上，在2017年5月的全球SIEM市場報(bào)告中，Gartner指出了SIEM工具中的智能，并將其描述為“SIEM市場的創(chuàng)新正在以驚人的速度創(chuàng)造更好的威脅檢測工具。”

報(bào)告進(jìn)一步指出，提供商正在產(chǎn)品中引入機(jī)器學(xué)習(xí)、高級(jí)統(tǒng)計(jì)分析等分析方法，部分提供商還在嘗試人工智能和深度學(xué)習(xí)功能。

提供商市場的發(fā)展得益于更快地產(chǎn)生更準(zhǔn)確的檢測率的功能。但企業(yè)并不確定這些功能是否給公司帶來新的收益，或者如何為公司創(chuàng)收。

至于這些技術(shù)的前景，弗雷斯特研究公司的首席分析師羅布·斯特勞德認(rèn)為:

"

借助AI和機(jī)器學(xué)習(xí)，我們可以進(jìn)行推理和基于模式的監(jiān)控和報(bào)警，但真正的機(jī)會(huì)是預(yù)測性修復(fù)。這是目前的市場趨勢。它正從監(jiān)控工具轉(zhuǎn)變?yōu)樘峁┚S修建議的軟件。將來，SIEM甚至可以自動(dòng)進(jìn)行維修操作。

企業(yè)中的SIEM

SIEM軟件只占全球企業(yè)安全支出的一小部分。Gartner估計(jì)，2017年全球企業(yè)安全支出約為984億美元，SIEM軟件將獲得約24億美元。高德納預(yù)測，SIEM技術(shù)的支出將穩(wěn)步增長，從2018年到26億美元，從2021年到34億美元。

SIEM軟件主要用于大型企業(yè)和上市公司，這類公司的合規(guī)性要求是采用該技術(shù)的重要原因。

雖然一些中型企業(yè)也在使用SIEM軟件，但是小公司既沒有必要也不愿意在SIEM上投入資金。分析師表示，他們通常無法購買自己的解決方案，因?yàn)樗麄兊哪甓戎С隹赡苓_(dá)到數(shù)萬至數(shù)十萬美元。而且，小公司無法雇傭持續(xù)維持SIEM所需的人才。

也就是說，一些中小企業(yè)(SMB)已經(jīng)從外包供應(yīng)商那里獲得了SIEM，這些供應(yīng)商可以通過軟件即服務(wù)來銷售服務(wù)。

鑒于敏感數(shù)據(jù)流經(jīng)SIEM系統(tǒng)，目前大型企業(yè)用戶習(xí)慣于在本地運(yùn)行SIEM軟件。葛蘭素史克美國SOC首席分析師、SANS研究所導(dǎo)師約翰·哈巴德(John Habad)說:“你在記錄敏感的東西，而這種東西并不是每個(gè)人都敢在網(wǎng)上發(fā)的風(fēng)險(xiǎn)?！?/p>

但是，隨著SIEM產(chǎn)品中機(jī)器學(xué)習(xí)和人工智能的增加，一些分析師也預(yù)計(jì)SIEM提供商會(huì)提出混合選項(xiàng)，一些分析將在云中執(zhí)行。

"

云情報(bào)的收集、整理和輸出都在上升，因?yàn)樘峁┥瘫裙灸苁占驼砀嗟臄?shù)據(jù)。

選擇SIEM工具和提供商

從全球銷售額來看，SIEM市場有幾個(gè)占主導(dǎo)地位的供應(yīng)商，尤其是IBM、Splunk和HPE。還有更多主流玩家，如Alert Logic、Intel、LogRhythm、ManageEngine、Micro Focus、太陽風(fēng)、Trustwave等。

Gartner2017SIEM年SIEM領(lǐng)域象限圖

音樂說，公司需要根據(jù)自己的目標(biāo)來評(píng)價(jià)產(chǎn)品，決定哪一個(gè)最符合自己的需求。主要是為了合規(guī)的公司會(huì)比想用SIEM建立SOC的公司更注重報(bào)表等具體功能。

同時(shí)，PT級(jí)海量數(shù)據(jù)的企業(yè)也會(huì)尋找一些更適合自己需求的供應(yīng)商，而數(shù)據(jù)較少的企業(yè)可能會(huì)選擇其他。同樣，需要優(yōu)秀的威脅搜索功能的公司也會(huì)尋求頂級(jí)的數(shù)據(jù)可視化工具和搜索功能。

安全監(jiān)督員在評(píng)估SIEM供應(yīng)商時(shí)，需要考慮很多其他因素，比如是否能支持特定的工具，系統(tǒng)中會(huì)有多少數(shù)據(jù)，會(huì)付出多少錢。例如，HPE的ArcSight ESM是一個(gè)功能齊全且成熟的工具，但它需要大量的專業(yè)知識(shí)，并且比其他選項(xiàng)更昂貴。安全操作越復(fù)雜，工具就越好用。

鑒于SIEM選擇背后的兩種驅(qū)動(dòng)力導(dǎo)致的不同功能需求，很多企業(yè)會(huì)選擇兩種不同的系統(tǒng)，一種側(cè)重于合規(guī)性，但這將減緩?fù){檢測。另一個(gè)是戰(zhàn)術(shù)SIEM，用于威脅檢測。

最大化SIEM的價(jià)值

大多數(shù)公司仍然主要使用SIEM軟件來跟蹤和調(diào)查發(fā)生的事情。該用例的驅(qū)動(dòng)因素是數(shù)據(jù)泄漏威脅的升級(jí)，以及安全主管和公司在此類事件中面臨的日益嚴(yán)重的后果?？上攵绻颈缓诹?，沒有一個(gè)CIO會(huì)在董事會(huì)問的時(shí)候說“我要是知道就好了”。他們最應(yīng)該想說的是“我們會(huì)整理日志數(shù)據(jù)，搞清楚到底發(fā)生了什么?！?/p>

但是很多公司對(duì)SIEM的這個(gè)用例并不滿意，開始在檢測和近實(shí)時(shí)響應(yīng)中更多的使用這個(gè)技術(shù)?，F(xiàn)在的游戲是:你的探測速度有多快？機(jī)器學(xué)習(xí)的不斷發(fā)展正在幫助SIEM系統(tǒng)更準(zhǔn)確地識(shí)別異?；顒?dòng)和潛在的惡意活動(dòng)。

盡管有這些發(fā)展，公司仍然面臨著最大化工具效果甚至最大限度地提取現(xiàn)有系統(tǒng)價(jià)值的挑戰(zhàn)。這有很多原因。

首先，SIEM技術(shù)是一個(gè)資源密集型的工具，需要有經(jīng)驗(yàn)的人員來實(shí)施、維護(hù)和調(diào)整——這類人員并不是所有企業(yè)都能完全投入的。

許多企業(yè)購買這項(xiàng)技術(shù)是因?yàn)樗麄冎肋@是他們所需要的，但他們沒有能夠處理這項(xiàng)技術(shù)的人，或者他們沒有培訓(xùn)他們的員工。

為了最大化SIEM軟件的輸出，需要有高質(zhì)量的數(shù)據(jù)。數(shù)據(jù)源越大，工具的輸出越好，可以識(shí)別的異常值越多。然而，公司很難定義和提供正確的數(shù)據(jù)。

即使有強(qiáng)大的數(shù)據(jù)和高端團(tuán)隊(duì)來操作SIEM技術(shù)，軟件本身也有局限性。SIEM在檢測可接受的活動(dòng)和合法的潛在威脅方面并不完全準(zhǔn)確。正是這種差異導(dǎo)致了許多SIEM部署中的大量誤報(bào)。這種情況需要企業(yè)內(nèi)部強(qiáng)有力的監(jiān)管和有效的程序，以避免安全團(tuán)隊(duì)被警報(bào)過載拖累。

"

安全人員往往從追逐大量的誤報(bào)開始。成熟的公司會(huì)學(xué)會(huì)調(diào)整工具，讓軟件明白什么是正常事件，從而減少誤報(bào)的數(shù)量。另一方面，一些安全團(tuán)隊(duì)跳過這一步，習(xí)慣性地忽略太多的誤報(bào)——這種操作可能會(huì)錯(cuò)過真正的威脅。

高端公司也編寫腳本來自動(dòng)化更多的常規(guī)功能。例如，從不同的數(shù)據(jù)源中提取上下文數(shù)據(jù)，以構(gòu)建更完整的警報(bào)視圖，并加快對(duì)真實(shí)威脅的調(diào)查和識(shí)別。這需要良好的工藝和安全的操作成熟度。也就是說，SIEM不僅僅是作為一個(gè)單獨(dú)的工具使用，而是與其他技術(shù)集成在一起，有一個(gè)完整的過程來指導(dǎo)各種動(dòng)作。

這樣可以減少員工在低端行動(dòng)上花費(fèi)的時(shí)間，讓他們把精力集中在高價(jià)值的任務(wù)上，改善公司的整體安全狀況。