SIEM是什么?它是怎么运作的?又该如何选择正确的工具?

安全信息与事件管理(SIEM)源于日志管理,但早已演变得比事件管理强大许多,今天的SIEM软件提供商还引入了机器学习、高级统计分析和其他分析方法。

SIEM软件是什么?

SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记录。

SIEM技术已存在了十年以上,最早是从日志管理发展起来的。它将安全事件管理(SEM)——实时分析日志和事件数据以提供威胁监视、事件关联和事件响应,与安全信息管理(SIM)——收集、分析并报告日志数据,结合了起来。

SIEM的运作机制是什么

SIEM软件收集并聚合公司所有技术基础设施所产生的日志数据,数据来源从主机系统及应用,到防火墙及杀软过滤器之类网络和安全设备都有。

收集到数据后,SIEM软件就开始识别并分类事件,对事件进行分析。该软件的主要目标有两个:

1. 产出安全相关事件的报告,比如成功/失败的登录、恶意软件活动和其他可能的恶意活动。

2. 如果分析表明某活动违反了预定义的规则集,有潜在的安全问题,就发出警报。

企业对更好合规管理的需求,是早期对该技术采用的主要驱动力。审计人员需要检查规定有没有被遵从的方法,而SIEM提供了满足HIPPA、SOX和 PCI DDS 等强制要求的监视与报告功能。然而,专家表示,近些年企业对更好的安全措施的需求,才是SIEM市场更大的驱动力。

如今,大型企业通常都将SIEM视为支撑安全运营中心(SOC)的基础。

分析与情报

安全运营中SIEM软件使用背后的一个主要推动因素,是市场上很多产品包含的新功能。除了传统的日志数据,很多SIEM技术还引入了威胁情报馈送,更有多种SIEM产品具备安全分析能力,不仅监视网络行为,还监测用户行为,可针对某动作是否恶意活动给出更多情报。

事实上,Gartner在其2017年5月对全球SIEM市场的报告中,点出了SIEM工具中的情报,描述为“SIEM市场中的创新,正以惊人的速度,创建更好的威胁检测工具。”

报告进一步指出,提供商正往其产品中引入机器学习、高级统计分析和其他分析方法,其中一些还在实验人工智能和深度学习功能。

提供商市场如此发展,是因为有了能更快产出更准确检测率的功能。不过,企业也不确定这些功能是否有给公司带来新的收益,或者是怎么给公司创收的。

至于此类技术的前景,Forrester Research的首席分析师罗博·斯特劳德认为:

在AI和机器学习的帮助下,我们可以做推断和基于模式的监视与警报,但真正的机会是预见性的修复。这就是当今市场动向。正在从监视工具,变成提供修复建议的软件。在未来,SIEM甚至可以自动化修复操作。

企业中的SIEM

全球企业的安全开销中,SIEM软件仅占很小的一部分。Gartner估测,2017年全球企业安全开支约在984亿美元左右,SIEM软件大概会收获24亿美元。Gartner预计,在SIEM技术上的开销将会平稳增长,2018年到26亿美元,2021年到34亿美元。

SIEM软件主要被大型企业和上市公司采用,此类公司中合规要求是采纳该技术的重要原因。

虽然有些中型企业也用SIEM软件,小公司却既没必要也没意愿往SIEM里投钱。分析师称,他们通常无力购买自已的解决方案,因为其年度开销可达数万到十几万美元。而且,小公司也没能力雇佣持续维护SIEM所需的人才。

也就是说,有些中小企业(SMB)通过软件即服务的方式,从足以售卖该服务的外包供应商处,获得了SIEM。

鉴于流经SIEM系统的部分数据比较敏感,目前大型企业用户习惯在本地运行SIEM软件。GlaxoSmithKline美国SOC首席分析师兼SANS研究所导师约翰·哈巴德说:“你在记录敏感的东西,这种东西可不是人人都敢冒在互联网上发送的风险的。”

不过,随着机器学习和人工智能在SIEM产品中的增多,一些分析师也预计,SIEM提供商会拿出一个混合选项,部分分析在云端执行。

云端收集、整理和产出情报正在兴起,因为提供商可以比公司收集并梳理更多数据。

SIEM工具和提供商选择

基于全球销售额,SIEM市场有几家居于统治性地位的供应商,尤其是IBM、Splunk和HPE(惠普企业)。还有更多一些的主流玩家,比如 Alert Logic、Intel、LogRhythm、ManageEngine、Micro Focus、Solar Winds 和Trustwave。

Gartner2017SIEM领域魔力象限图

穆西奇称,公司企业需根据自己的目标来评估产品,决定哪款最符合自身需要。主要为了合规的企业,就会比想利用SIEM建立SOC的公司,更看重报告之类的特定功能。

同时,拥有PT级海量数据的企业,也会寻找更适合他们需求的某些供应商,而拥有数据较少的企业,可能选择其他。同样的,需要优良威胁捕猎功能的公司,会寻求顶级数据可视化工具和搜索功能。

评估SIEM供应商时,安全主管需要考虑很多其他因素,比如他们是否能支持特定工具、系统中会有多少数据、需要支付多少钱。举个例子,HPE的 ArcSight ESM 是一款功能完善的成熟工具,但需要大量专业知识,且比其他选择要贵。安全操作越复杂,越能充分利用好手中的工具。

鉴于SIEM选择背后两大驱动力导致的功能需求各不相同,很多企业会选取2套不同系统,一套关注合规,但这会减慢威胁检测。另一套则是战术性的SIEM,用于威胁检测。

最大化SIEM价值

大多数公司仍主要将SIEM软件用于追踪和调查已发生过什么。这一用例的驱动因素,是数据泄露威胁的升级,以及此类事件中安全主管和公司企业所面临后果的不断加码。可以想象,如果公司被黑,没有任何一位CIO,会在接受董事会问询时说“我特么要是知道就好了。”他们最应该想说的是“我们会梳理日志数据,查明发生了什么。”

不过,现在也有很多公司不满足于SIEM的这一用例,开始将该技术更多地用在检测和近实时响应上。现在的玩法是:你的检测速度有多快?不断发展的机器学习,正帮助SIEM系统更加准确地识别异常活动和潜在恶意活动。

尽管了有了这些发展,公司企业还是面临最大化工具效果,甚至最大限度榨取已有系统价值的挑战。其中原因多种多样。

首先,SIEM技术是资源密集型工具,需要经验丰富的人员来实现、维护和调整——这种员工不是所有企业都能完全投入的。

很多企业因为知道这是自己需要的东西而买下了该技术,但他们并没有能够搞定该技术的人员,或者他们没对员工进行所需的培训。

想要最大化SIEM软件产出,就需要拥有高品质的数据。数据源越大,该工具产出越好,越能识别出异常值。然而,公司企业在定义和提供正确数据方面苦苦挣扎。

且即便有了强大的数据和高端团队来运营SIEM技术,该软件自身也有局限。在检测可接受活动和合法潜在威胁上,SIEM并非完全准确,正是这种差异,导致了很多SIEM部署中出现了大量误报。该情况需要企业内有强力监管和有效规程,避免安全团队被警报过载拖垮。

安全人员往往从追逐大量误报开始。成熟的公司会学着调整工具,让该软件理解什么是正常事件,以此来降低误报数量。但另一方面,一些安全团队会跳过该步骤,习惯性直接无视太多误报——有可能错过真正威胁的一种操作。

更为高端的公司还会编写脚本来自动化更多常规功能。比如从不同数据源拉取上下文数据以建立更完整的警报视图,加速对真正威胁的调查和识别。这需要良好的过程和安全运营成熟度。也就是说,不仅仅将SIEM作为一个单独的工具,而是将之与其他技术整合,有个整体的过程来引导各种行动。

如此,可以减少员工花费在低端动作上的时间,让他们可以将自己的精力放在高价值任务上,以提升公司的整体安全态势。

本文来自企鹅号 - 安全牛媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏CSDN技术头条

周鸿祎:以大数据技术对抗大数据平台安全威胁

1月,中国大陆境内所有通用顶级域(.com/.net/.org等)解析出现问题,所有相关域名均被指向一个位于美国的IP地址(65.49.2.178),导致数千万...

2025
来自专栏云鼎实验室的专栏

安全报告 | 2018年游戏行业安全监测报告及五大攻击趋势

近日,媒体频频爆出苹果用户帐号被盗刷,用于购买游戏道具等物品,并由此牵出 App Store 及游戏相关黑产的种种。8102年都快过去了,游戏黑客在攻击什么?他...

1353
来自专栏FreeBuf

白帽子兴趣消退:“泥泞中”的苹果漏洞赏金计划

苹果发布漏洞奖励计划近一年后,却鲜有听闻已有白帽黑客领取漏洞奖励,这种“怪现象”开始导致一些常为苹果公司提交高价值漏洞的安全研究人员开始保留漏洞而不提交官方。 ...

3657
来自专栏FreeBuf

行业报告:医疗数据泄露愈发严重,谁之过错?

Trustwave发布了一份2015年医疗行业的安全报告,通过对398名专业的医疗专业人员(部分是技术人员,包括CIO、CISO、IT主管等,另一部分是普通的医...

2159
来自专栏区块链开发科技公司

区块链开发公司 数据上链后真实性是否保证?

区块链在集中式环境中遇到问题,人们正试图在区块链中找到答案。分散存储、公共分类账、可信时间戳等,颠覆性概念被抛出,试图打破当前的运营机制。

803

技术导向的创业公司必须关注IT安全的三大原因

随着越来越多的企业加入这样一个热潮,即推出下一个旗舰级应用,网络和移动应用现在已经随处可见了。据AppBrain称,迄今为止Android市场上有近280万个应...

701
来自专栏灯塔大数据

深度|大数据时代 银行信息安全如何防护?

互联网的放大效应使公众的容忍度越来越低,尤其是信息安全事件的影响,让银行面临的声誉风险压力倍增。不容乐观的是,在数据大集中已经成为潮流的今天,信息安全风险也在...

3379
来自专栏安恒信息

六个广泛存在的网络安全“惯性思维”

身为一名企业的高层管理者,既要负责公司的发展战略,又要管理日常庞杂的运营工作,因而难免会有照顾不到的地方,例如容易被忽视的IT安全管理,特别是在这个网络安全问题...

933
来自专栏腾讯研究院的专栏

区块链焦虑症?如何判断是否该使用区块链

image.png 郭 锐  腾讯公司FiT金融产品创新实验室&平台研发部助理总经理   不知从什么时候开始,交流金融科技,不提区块链和大数据,感觉就已经...

1796
来自专栏币聪财经

币聪财经:为什么说长期投资Quantstamp(QSP)是一项明智的选择?

Quantstamp是一家Y Combinator支持的安全公司,正在开发一种新的智能合约验证协议,旨在帮助区块链开发人员和全球项目使用其技术对合同进行经济高效...

794

扫码关注云+社区