次世代SIEM？IBM眼中的SOAPA

安全信息和事件管理（SIEM）产品及服务负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件中收集安全日志数据，并进行分析和报告。 有些SIEM还可以试图阻止它们检测到正在进行的攻击，这可能帮助阻止破坏或者限制成功攻击可能造成的损坏。 但是这段时间SIEM似乎遇到了强有力的挑战，现在的市场在推一种名叫SOAPA的概念，有些人说它会取代SIEM，果真如此吗？《SOAPA来临，SIEM时代终结？》

如今，市场正在逐渐地往SOAPA偏移，IBM对Resilient System以及Splunk对Caspida的收购就是对这个趋势最好的见证。

此外，McAfee也开始将自己的工具和生态伙伴与SOAPA技术集成起来，以及进行一些相关的收购来填补架构方面的欠缺。

在本次针对IBM 安全部总经理Marc van Zadelhoff的采访中，我们主要对SOAPA的需求、驱动力及其规模等内容进行了探讨，你可以点击观看完整访问视频，以下仅提取要点进行介绍：

什么是安全运作和分析平台架构（SOAPA）？

在过去，大多数企业使用安全信息和事件管理（SIEM）产品和服务进行安全分析和运作工作。

现在，SIEM依然发挥着重要的作用，但是很多企业开始为他们的安全操作中心（SOCs）填充额外的数据、分析工具以及操作管理系统。

我们现在看到的SOCs已经成为端点检测和响应工具（EDR）、网络分析、威胁情报平台（TIPs）以及事件响应平台（IRPs）的结合体。

总的来说，安全行业正被一波又一波新型传感器、不同的数据源、分析工具以及操作需求所驱动而发生着翻天覆地的变化。

而这些变化又推动着整体安全技术向更全面的事件驱动软件架构（SOA2.0）变革。

于是，被ESG称为“SOAPA（ a security operations and analytics platform architecture，安全运作和分析平台架构）”的平台便应运而生。

SOAPA是一个动态的架构，这意味着随着时间的推移，新的数据源和控制平面还会递增。 另外，SOAPA本身就是基于SIEM开发的，除了有与SIEM类似的功能之外，SOAPA还有以下的几个功能模块：端点检测/响应工具（EDR）、事故响应平台（IRP）、网络安全分析、UBA /机器学习算法、反恶意软件沙箱以及威胁情报等。

IBM将SOAPA描述为一个“优于又次于SIEM”的架构。例如在调查和数据收集工具方面次于SIEM，但是在高级分析和操作服务，如用户行为分析（UBA）、事件响应平台（IRPs）等方面又优于SIEM。

驱动力是什么？

为什么越来越多的企业组织开始追求SOAPA，甚至一些行业分析师还唱衰SIEM，大肆宣扬“SOAPA替代论”以及“SIEM死亡论”？

对此Marc是非常清楚的。IBM的大中型企业客户一般都有很多不同的安全点工具（security point tools），无法进行有效地管理。

IBM客户告诉他，在他们面临危险的威胁环境且缺乏网络安全技能团队的时候，他们不能使用一个点工具（point tools）集来保持领先的安全操作。这最后一点值得关注。

根据最新发布的2017 ESG IT消费者意向调查显示：45%的企业存在网络安全技能缺失问题。这一现状进一步驱动力SOAPA的发展。

是时候打造SOAPA标准了吗？

还不是时候。虽然IBM相信SOAPA架构对网络安全的重要意义，但是Marc认为让行业在一个标准构架上进行合作还为时尚早。

他说现在行业中已经有几个SOAPA领导企业了，所以API集成目前而言是个可以接受的方法。

在采访最后，Marc表示SOAPA是网络安全“这部小说”中最激动人心的“篇章”——SOAPA有能力带来更大规模的数据收集，更好的数据扩充以及更完善的数据分析。