SIEM是什么?它是怎么运作的?又该如何选择正确的工具?

安全信息与事件管理(SIEM)源于日志管理,但早已演变得比事件管理强大许多,今天的SIEM软件提供商还引入了机器学习、高级统计分析和其他分析方法。

SIEM软件是什么?

SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记录。

SIEM技术已存在了十年以上,最早是从日志管理发展起来的。它将安全事件管理(SEM)——实时分析日志和事件数据以提供威胁监视、事件关联和事件响应,与安全信息管理(SIM)——收集、分析并报告日志数据,结合了起来。

SIEM的运作机制是什么

SIEM软件收集并聚合公司所有技术基础设施所产生的日志数据,数据来源从主机系统及应用,到防火墙及杀软过滤器之类网络和安全设备都有。

收集到数据后,SIEM软件就开始识别并分类事件,对事件进行分析。该软件的主要目标有两个:

1. 产出安全相关事件的报告,比如成功/失败的登录、恶意软件活动和其他可能的恶意活动。

2. 如果分析表明某活动违反了预定义的规则集,有潜在的安全问题,就发出警报。

企业对更好合规管理的需求,是早期对该技术采用的主要驱动力。审计人员需要检查规定有没有被遵从的方法,而SIEM提供了满足HIPPA、SOX和 PCI DDS 等强制要求的监视与报告功能。然而,专家表示,近些年企业对更好的安全措施的需求,才是SIEM市场更大的驱动力。

如今,大型企业通常都将SIEM视为支撑安全运营中心(SOC)的基础。

分析与情报

安全运营中SIEM软件使用背后的一个主要推动因素,是市场上很多产品包含的新功能。除了传统的日志数据,很多SIEM技术还引入了威胁情报馈送,更有多种SIEM产品具备安全分析能力,不仅监视网络行为,还监测用户行为,可针对某动作是否恶意活动给出更多情报。

事实上,Gartner在其2017年5月对全球SIEM市场的报告中,点出了SIEM工具中的情报,描述为“SIEM市场中的创新,正以惊人的速度,创建更好的威胁检测工具。”

报告进一步指出,提供商正往其产品中引入机器学习、高级统计分析和其他分析方法,其中一些还在实验人工智能和深度学习功能。

提供商市场如此发展,是因为有了能更快产出更准确检测率的功能。不过,企业也不确定这些功能是否有给公司带来新的收益,或者是怎么给公司创收的。

至于此类技术的前景,Forrester Research的首席分析师罗博·斯特劳德认为:

在AI和机器学习的帮助下,我们可以做推断和基于模式的监视与警报,但真正的机会是预见性的修复。这就是当今市场动向。正在从监视工具,变成提供修复建议的软件。在未来,SIEM甚至可以自动化修复操作。

企业中的SIEM

全球企业的安全开销中,SIEM软件仅占很小的一部分。Gartner估测,2017年全球企业安全开支约在984亿美元左右,SIEM软件大概会收获24亿美元。Gartner预计,在SIEM技术上的开销将会平稳增长,2018年到26亿美元,2021年到34亿美元。

SIEM软件主要被大型企业和上市公司采用,此类公司中合规要求是采纳该技术的重要原因。

虽然有些中型企业也用SIEM软件,小公司却既没必要也没意愿往SIEM里投钱。分析师称,他们通常无力购买自已的解决方案,因为其年度开销可达数万到十几万美元。而且,小公司也没能力雇佣持续维护SIEM所需的人才。

也就是说,有些中小企业(SMB)通过软件即服务的方式,从足以售卖该服务的外包供应商处,获得了SIEM。

鉴于流经SIEM系统的部分数据比较敏感,目前大型企业用户习惯在本地运行SIEM软件。GlaxoSmithKline美国SOC首席分析师兼SANS研究所导师约翰·哈巴德说:“你在记录敏感的东西,这种东西可不是人人都敢冒在互联网上发送的风险的。”

不过,随着机器学习和人工智能在SIEM产品中的增多,一些分析师也预计,SIEM提供商会拿出一个混合选项,部分分析在云端执行。

云端收集、整理和产出情报正在兴起,因为提供商可以比公司收集并梳理更多数据。

SIEM工具和提供商选择

基于全球销售额,SIEM市场有几家居于统治性地位的供应商,尤其是IBM、Splunk和HPE(惠普企业)。还有更多一些的主流玩家,比如 Alert Logic、Intel、LogRhythm、ManageEngine、Micro Focus、Solar Winds 和Trustwave。

Gartner2017SIEM领域魔力象限图

穆西奇称,公司企业需根据自己的目标来评估产品,决定哪款最符合自身需要。主要为了合规的企业,就会比想利用SIEM建立SOC的公司,更看重报告之类的特定功能。

同时,拥有PT级海量数据的企业,也会寻找更适合他们需求的某些供应商,而拥有数据较少的企业,可能选择其他。同样的,需要优良威胁捕猎功能的公司,会寻求顶级数据可视化工具和搜索功能。

评估SIEM供应商时,安全主管需要考虑很多其他因素,比如他们是否能支持特定工具、系统中会有多少数据、需要支付多少钱。举个例子,HPE的 ArcSight ESM 是一款功能完善的成熟工具,但需要大量专业知识,且比其他选择要贵。安全操作越复杂,越能充分利用好手中的工具。

鉴于SIEM选择背后两大驱动力导致的功能需求各不相同,很多企业会选取2套不同系统,一套关注合规,但这会减慢威胁检测。另一套则是战术性的SIEM,用于威胁检测。

最大化SIEM价值

大多数公司仍主要将SIEM软件用于追踪和调查已发生过什么。这一用例的驱动因素,是数据泄露威胁的升级,以及此类事件中安全主管和公司企业所面临后果的不断加码。可以想象,如果公司被黑,没有任何一位CIO,会在接受董事会问询时说“我特么要是知道就好了。”他们最应该想说的是“我们会梳理日志数据,查明发生了什么。”

不过,现在也有很多公司不满足于SIEM的这一用例,开始将该技术更多地用在检测和近实时响应上。现在的玩法是:你的检测速度有多快?不断发展的机器学习,正帮助SIEM系统更加准确地识别异常活动和潜在恶意活动。

尽管了有了这些发展,公司企业还是面临最大化工具效果,甚至最大限度榨取已有系统价值的挑战。其中原因多种多样。

首先,SIEM技术是资源密集型工具,需要经验丰富的人员来实现、维护和调整——这种员工不是所有企业都能完全投入的。

很多企业因为知道这是自己需要的东西而买下了该技术,但他们并没有能够搞定该技术的人员,或者他们没对员工进行所需的培训。

想要最大化SIEM软件产出,就需要拥有高品质的数据。数据源越大,该工具产出越好,越能识别出异常值。然而,公司企业在定义和提供正确数据方面苦苦挣扎。

且即便有了强大的数据和高端团队来运营SIEM技术,该软件自身也有局限。在检测可接受活动和合法潜在威胁上,SIEM并非完全准确,正是这种差异,导致了很多SIEM部署中出现了大量误报。该情况需要企业内有强力监管和有效规程,避免安全团队被警报过载拖垮。

安全人员往往从追逐大量误报开始。成熟的公司会学着调整工具,让该软件理解什么是正常事件,以此来降低误报数量。但另一方面,一些安全团队会跳过该步骤,习惯性直接无视太多误报——有可能错过真正威胁的一种操作。

更为高端的公司还会编写脚本来自动化更多常规功能。比如从不同数据源拉取上下文数据以建立更完整的警报视图,加速对真正威胁的调查和识别。这需要良好的过程和安全运营成熟度。也就是说,不仅仅将SIEM作为一个单独的工具,而是将之与其他技术整合,有个整体的过程来引导各种行动。

如此,可以减少员工花费在低端动作上的时间,让他们可以将自己的精力放在高价值任务上,以提升公司的整体安全态势。

本文来自企鹅号 - 安全牛媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏人称T客

移动应用有望成为山东创新应用实践主流方向 | 调研

T客汇官网:tikehui.com 撰文 | 杨丽 ? 针对山东省企业实践创新应用的情况,移动信息化研究中心就山东省企业创新应用的需求及实践状况进行不同维度的研...

2627
来自专栏安恒信息

安恒信息发起成立“企业数据安全技术联盟”,共赢大数据安全

随着人工智能技术的广泛深入应用,给信息安全行业带来全新的挑战,但同时也带来前所未有的发展机遇。数据泄漏给企业造成的损害日益严重,加强企业数据资产的管理与保护已经...

3237
来自专栏钱塘大数据

不能只谈大数据概念,能解决痛点才是硬道理

导读:我们不能只谈大数据概念,我们要谈大数据到底能够解决什么问题。我们要做数据和客户之间的桥梁,把数据的价值体现出来。 ? 自进入大数据时代以来,我们总能时不时...

3046
来自专栏机器人网

技术猿 | 机器人上都用哪些传感器,有什么要求?

智能机器人的外部传感器大致可分为力学传感器,触觉传感器,接近传感器,视觉传感器,滑觉传感器和热觉传感器等,对于智能机器人来说传感器是必不可少的一部分,对于每一个...

3428
来自专栏智能计算时代

2016年RSA会议和物联网

世界领先的信息安全会议和展览会2016年RSA大会今天在旧金山的Moscone中心揭幕。会议结束了第25年,会议聚集了顶尖的信息安全专业人员和商业领袖,讨论新兴...

2705
来自专栏镁客网

极限元温正棋:从前端信号处理到语音识别、对话、声纹情绪与合成,要打造智能交互闭环 | 镁客请讲

903
来自专栏钱塘大数据

【推荐阅读】工业大数据发展态势与典型应用

导读:本文从工业大数据的概念、特征入手,对工业大数据的发展态势进行了探讨,指出工业大数据可广泛应用于企业生产过程的各环节。并按照研发设计、供应链、生产制造、营销...

2848
来自专栏PPV课数据科学社区

大数据的三大迷思

现在很多有关大数据的讨论都是围绕着数据收集进行的,但是除非内外部用户能够方便地消费这些数据,否则它们将一文不值。 Michel Guillet 来自提供数据可视...

2548
来自专栏人称T客

IBM还要卖 联想还要买

【编者按】年初联想的两笔收购案在业内可谓掀起了不小的波澜,赚足了媒体眼球,联想也一鼓作气大肆宣传,品牌影响力再次提升,股价一路飙升。那么,本次收购后,联想采取了...

3414
来自专栏云计算D1net

云计算规模越来越大,但也越来越复杂

导语 随着云计算的发展,云计算运行商在为跨越多个国家的用户提供服务时不得不面临地缘政治和法规的限制,大多数公司更喜欢(通常也是被迫)采用在本地运营的数据中心基础...

3418

扫码关注云+社区