SIEM是什么?它是怎么运作的?又该如何选择正确的工具?

安全信息与事件管理(SIEM)源于日志管理,但早已演变得比事件管理强大许多,今天的SIEM软件提供商还引入了机器学习、高级统计分析和其他分析方法。

SIEM软件是什么?

SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记录。

SIEM技术已存在了十年以上,最早是从日志管理发展起来的。它将安全事件管理(SEM)——实时分析日志和事件数据以提供威胁监视、事件关联和事件响应,与安全信息管理(SIM)——收集、分析并报告日志数据,结合了起来。

SIEM的运作机制是什么

SIEM软件收集并聚合公司所有技术基础设施所产生的日志数据,数据来源从主机系统及应用,到防火墙及杀软过滤器之类网络和安全设备都有。

收集到数据后,SIEM软件就开始识别并分类事件,对事件进行分析。该软件的主要目标有两个:

1. 产出安全相关事件的报告,比如成功/失败的登录、恶意软件活动和其他可能的恶意活动。

2. 如果分析表明某活动违反了预定义的规则集,有潜在的安全问题,就发出警报。

企业对更好合规管理的需求,是早期对该技术采用的主要驱动力。审计人员需要检查规定有没有被遵从的方法,而SIEM提供了满足HIPPA、SOX和 PCI DDS 等强制要求的监视与报告功能。然而,专家表示,近些年企业对更好的安全措施的需求,才是SIEM市场更大的驱动力。

如今,大型企业通常都将SIEM视为支撑安全运营中心(SOC)的基础。

分析与情报

安全运营中SIEM软件使用背后的一个主要推动因素,是市场上很多产品包含的新功能。除了传统的日志数据,很多SIEM技术还引入了威胁情报馈送,更有多种SIEM产品具备安全分析能力,不仅监视网络行为,还监测用户行为,可针对某动作是否恶意活动给出更多情报。

事实上,Gartner在其2017年5月对全球SIEM市场的报告中,点出了SIEM工具中的情报,描述为“SIEM市场中的创新,正以惊人的速度,创建更好的威胁检测工具。”

报告进一步指出,提供商正往其产品中引入机器学习、高级统计分析和其他分析方法,其中一些还在实验人工智能和深度学习功能。

提供商市场如此发展,是因为有了能更快产出更准确检测率的功能。不过,企业也不确定这些功能是否有给公司带来新的收益,或者是怎么给公司创收的。

至于此类技术的前景,Forrester Research的首席分析师罗博·斯特劳德认为:

在AI和机器学习的帮助下,我们可以做推断和基于模式的监视与警报,但真正的机会是预见性的修复。这就是当今市场动向。正在从监视工具,变成提供修复建议的软件。在未来,SIEM甚至可以自动化修复操作。

企业中的SIEM

全球企业的安全开销中,SIEM软件仅占很小的一部分。Gartner估测,2017年全球企业安全开支约在984亿美元左右,SIEM软件大概会收获24亿美元。Gartner预计,在SIEM技术上的开销将会平稳增长,2018年到26亿美元,2021年到34亿美元。

SIEM软件主要被大型企业和上市公司采用,此类公司中合规要求是采纳该技术的重要原因。

虽然有些中型企业也用SIEM软件,小公司却既没必要也没意愿往SIEM里投钱。分析师称,他们通常无力购买自已的解决方案,因为其年度开销可达数万到十几万美元。而且,小公司也没能力雇佣持续维护SIEM所需的人才。

也就是说,有些中小企业(SMB)通过软件即服务的方式,从足以售卖该服务的外包供应商处,获得了SIEM。

鉴于流经SIEM系统的部分数据比较敏感,目前大型企业用户习惯在本地运行SIEM软件。GlaxoSmithKline美国SOC首席分析师兼SANS研究所导师约翰·哈巴德说:“你在记录敏感的东西,这种东西可不是人人都敢冒在互联网上发送的风险的。”

不过,随着机器学习和人工智能在SIEM产品中的增多,一些分析师也预计,SIEM提供商会拿出一个混合选项,部分分析在云端执行。

云端收集、整理和产出情报正在兴起,因为提供商可以比公司收集并梳理更多数据。

SIEM工具和提供商选择

基于全球销售额,SIEM市场有几家居于统治性地位的供应商,尤其是IBM、Splunk和HPE(惠普企业)。还有更多一些的主流玩家,比如 Alert Logic、Intel、LogRhythm、ManageEngine、Micro Focus、Solar Winds 和Trustwave。

Gartner2017SIEM领域魔力象限图

穆西奇称,公司企业需根据自己的目标来评估产品,决定哪款最符合自身需要。主要为了合规的企业,就会比想利用SIEM建立SOC的公司,更看重报告之类的特定功能。

同时,拥有PT级海量数据的企业,也会寻找更适合他们需求的某些供应商,而拥有数据较少的企业,可能选择其他。同样的,需要优良威胁捕猎功能的公司,会寻求顶级数据可视化工具和搜索功能。

评估SIEM供应商时,安全主管需要考虑很多其他因素,比如他们是否能支持特定工具、系统中会有多少数据、需要支付多少钱。举个例子,HPE的 ArcSight ESM 是一款功能完善的成熟工具,但需要大量专业知识,且比其他选择要贵。安全操作越复杂,越能充分利用好手中的工具。

鉴于SIEM选择背后两大驱动力导致的功能需求各不相同,很多企业会选取2套不同系统,一套关注合规,但这会减慢威胁检测。另一套则是战术性的SIEM,用于威胁检测。

最大化SIEM价值

大多数公司仍主要将SIEM软件用于追踪和调查已发生过什么。这一用例的驱动因素,是数据泄露威胁的升级,以及此类事件中安全主管和公司企业所面临后果的不断加码。可以想象,如果公司被黑,没有任何一位CIO,会在接受董事会问询时说“我特么要是知道就好了。”他们最应该想说的是“我们会梳理日志数据,查明发生了什么。”

不过,现在也有很多公司不满足于SIEM的这一用例,开始将该技术更多地用在检测和近实时响应上。现在的玩法是:你的检测速度有多快?不断发展的机器学习,正帮助SIEM系统更加准确地识别异常活动和潜在恶意活动。

尽管了有了这些发展,公司企业还是面临最大化工具效果,甚至最大限度榨取已有系统价值的挑战。其中原因多种多样。

首先,SIEM技术是资源密集型工具,需要经验丰富的人员来实现、维护和调整——这种员工不是所有企业都能完全投入的。

很多企业因为知道这是自己需要的东西而买下了该技术,但他们并没有能够搞定该技术的人员,或者他们没对员工进行所需的培训。

想要最大化SIEM软件产出,就需要拥有高品质的数据。数据源越大,该工具产出越好,越能识别出异常值。然而,公司企业在定义和提供正确数据方面苦苦挣扎。

且即便有了强大的数据和高端团队来运营SIEM技术,该软件自身也有局限。在检测可接受活动和合法潜在威胁上,SIEM并非完全准确,正是这种差异,导致了很多SIEM部署中出现了大量误报。该情况需要企业内有强力监管和有效规程,避免安全团队被警报过载拖垮。

安全人员往往从追逐大量误报开始。成熟的公司会学着调整工具,让该软件理解什么是正常事件,以此来降低误报数量。但另一方面,一些安全团队会跳过该步骤,习惯性直接无视太多误报——有可能错过真正威胁的一种操作。

更为高端的公司还会编写脚本来自动化更多常规功能。比如从不同数据源拉取上下文数据以建立更完整的警报视图,加速对真正威胁的调查和识别。这需要良好的过程和安全运营成熟度。也就是说,不仅仅将SIEM作为一个单独的工具,而是将之与其他技术整合,有个整体的过程来引导各种行动。

如此,可以减少员工花费在低端动作上的时间,让他们可以将自己的精力放在高价值任务上,以提升公司的整体安全态势。

本文来自企鹅号 - 安全牛媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

次世代SIEM?IBM眼中的SOAPA

安全信息和事件管理(SIEM)产品及服务负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件中收集安全日志数据,并进行分析和报告。 有些SIEM还...

2467
来自专栏量子位

放代码,钓工程师

每面试一位工程师,Facebook前开源项目负责人James Pearce都会不厌其烦地再问一遍。

782
来自专栏养码场

一周播报|十年前不去BAT而选择外企的那群技术人,现在怎么样了?

养码人A:maven只是一个工具有各种命令,jenkins负责把这些命令流程化 + 图形界面 + 自动化 + 分布式支持

1012
来自专栏华章科技

亚马逊说卡车运数据比光纤快!是真的吗?

抱着精明的企业家一定不会做赔本生意的想法,笔者收集的了一些数据,也做了一些测算。发现,这个世界真的有太多我们意想不到的东西。

852
来自专栏工科狗和生物喵

如果我只能推荐四个APP

本人最爱之一——橙子 在App使用这方面,我一直是一个挑剔的人,或者可以称得上喜新厌旧。现在做一个小软件的门槛越来越低,各种出色的、各种功能的、能够解决一些小问...

3886
来自专栏人称T客

平台演变创业者不能眼里只有SaaS还要有移动化

猎豹移动CEO傅盛曾表示:小米成立时,是一个伟大的公司,特别有情怀,还很有互联网精神,也成为了很多创业者效仿目标,但忽悠创业者最大的问题就是情怀,如果有情怀,工...

3499
来自专栏新智元

【开源项目挣钱手册】15种方法,总有一款适合你

前不久有人提出“开源已死”的观点,虽然具有非常大的误导性,但确实反映出了目前开源生态不平衡的现状。

1195
来自专栏云计算D1net

云计算,有时候也显得很愚蠢

关于Adobe放弃中国公司的原因众说纷纭,最近我读到了一篇很有趣的文章,这篇言之凿凿的文章认为市面上的其他说法都说不到点上,归根到底还是Adobe公司“不适应行...

2845
来自专栏ThoughtWorks

ThoughtWorks点滴,一个新人的年终感悟

又到了年末,感觉时间过的真快,2016年就这么匆匆流过了。尽管时光飞逝,这一年的工作经历却比以往几年都要来的丰富,原因很简单,我换工作了。从2016年的三月份正...

3117
来自专栏数据和云

以人为鉴:甲骨文公司云时代的明星工程师

编者注:一家公司的性格往往是由创始人展现出来,而中流砥柱的那些员工则决定了企业能够走向何方、走多长久,这篇文章中呈现出来的Oracle公司明星员工,可以借鉴这家...

3599

扫码关注云+社区