今天,SIEM(安全信息事件管理)系統已經成為企業安全團隊日常處理威脅事件的最優先選項之一,不僅可以從IT基礎架構中的海量信息資源中收集和分析各種攻擊活動,同時也是組織實現安全自動化、DevSecOps、態勢感知等安全管理和運營技術的基礎。
然而,隨著以零日攻擊為代表的高級威脅大量出現后,SIEM行業的競爭格局正在發生改變。傳統的SIEM系統由于存在難以實現精準告警、漏報較為嚴重等問題,已不是企業安全運營管理的理想選擇,安全團隊需要在原有SIEM方案功能的基礎上,融合更多的威脅檢測/響應、調查/查詢、威脅情報分析以及流程自動化/編排等先進安全能力,在寬度和深度兩個方面同時滿足其數字化業務發展和安全防護的需要。
為了跟上企業的應用需求,各大安全廠商都積極推進下一代SIEM產品的研發,在不斷吸納新的功能同時,并積極嘗試通過云計算技術,對傳統SIEM產品的設計架構進行云化改造。研究人員表示,當企業組織開始選型評估下一代SIEM解決方案時,應該明確并優先考慮以下關鍵能力指標,以確保SIEM方案切實可以滿足數字化業務穩定開展的需求。
1、支持云原生和多云部署
傳統SIEM通常部署在本地數據中心設備上,本地化部署沒有考慮過云計算環境。隨著企業云計算應用的快速發展,傳統SIEM本地化部署方案難以保護云端應用,也無法解決安全團隊面臨的云端基礎設施監控的挑戰。
研究機構Gartner認為,Cloud SIEM將會成為下一代SIEM產品發展的首要形態,這也意味著SIEM的設計架構將會發生重大變化。云化的好處不僅是順應云時代和遠程辦公時代的需要,更重要的是為了降低SIEM自身的部署和維護的負擔,將重點投入到基于SIEM的安全運行上。Cloud SIEM對中小型企業來說更是非常理想的選擇。
2、提供全面可觀察性
傳統的SIEM方案難以在大規模環境下整合企業的所有數字化應用運營數據,因此無法實現全面的可觀察性。在數字化發展模式下,企業需要能夠將各種數據從安全設備、業務應用、計算終端和網絡系統上完整收集起來并匯總到下一代SIEM,這樣才能夠獲得數字化環境的完整視圖。
此外,下一代SIEM還需要使用經過AI模型訓練的機器學習技術,攝取更廣泛的非固定數據源,讓安全分析工具可以及早識別新型未知攻擊,而不是等待已有的安全規則被動觸發。經過訓練的機器學習檢測模型可以有效地發現新的攻擊和傳統攻擊的新變種。
3、支持大數據架構
傳統SIEM的主要痛點之一就是難以對快速增長的數據信息進行有效采集和分析處理,不僅處理效率低下,而且還會生成大量誤報。因此,下一代SIEM應建立在大數據平臺上,不但能夠快速處理企業數字化發展種產生的海量數據,并且可以更加經濟的方式長期存儲和使用數據。對于安全運營團隊來說,實現統一的大數據架構,可以幫助他們快速獲取所需信息,從而增強搜索與安全相關的威脅信息并進行持續的監控和分析。這種能力輔以第三方威脅情報源,就可以有效增強對高級威脅攻擊的檢測能力。
4、自動化檢測與分析能力
傳統的SIEM方案會生成大量的安全警報,這樣很容易讓安全運營團隊產生“預警疲勞”。因此,下一代SIEM需要幫助人手不足以及工作負載過重的運營人員,通過更加細致的數據分析以及自動化檢測能力,將安全預警與真正需要關注的安全事件聯系起來。
此外,傳統SIEM方案在創建新的檢測規則時,需要大量的人工手動操作,這樣低效地創建與分析模式也難以應對快速變化的安全威脅。下一代SIEM需要能夠提供自動化的安全分析策略,通過威脅類型和安全場景對安全分析內容進行歸類,用戶可以快速地對其特定安全分析需求進行靈活部署,并且通過自動化規則創建和信息共享,應對快速變化的安全威脅形勢。
5、威脅優先級分析
傳統的SIEM方案通常只是將風險級別與攻擊階段進行關聯,為每個攻擊階段提供基礎的攻陷指標分析,這樣就會造成一些后果嚴重的安全事件告警被淹沒,安全運營人員無法確認其收到的告警是否有價值,需要在多個關聯平臺中,多次進行手工查詢與分析。
在下一代SIEM解決方案中,應該通過添加額外的上下文數據來豐富完善告警信息,包括用戶、資產、IP地址、地理位置、威脅情報、漏洞掃描結果等信息。通過豐富的上下文信息,安全分析人員可以快速了解威脅告警的嚴重性以及優先級,實現安全防護資源的最大化利用。
6、實時的威脅事件響應
傳統的SIEM一直存在“弱檢測,無響應”問題,但檢測識別威脅只是開始,快速響應并應對威脅才至關重要。下一代SIEM應具備自動化的威脅事件響應能力,能夠創建符合安全行業最佳實踐的響應流程,與廣泛的第三方產品與工具進行緊密集成,采取一系列明確操作進行響應處置,并給出應該采取的行動建議。此外,下一代SIEM需要能夠確定各個響應措施的優先級,以便盡量減少業務中斷,并為針對性響應提供最優化流程。
7、支持法律合規
相比傳統SIEM解決方案,下一代SIEM的一個重要改進就是更好地幫助企業合規。這種能力可以通過支持企業組織開展集中式合規審計和風險報告來實現的。下一代SIEM應該為各種重要的合規要求和行業安全標準提供管理支持和報告機制,比如《健康保險可攜性及責任性法案》(HIPAA)、《支付卡行業數據安全標準》(PCI DSS)、《薩班斯法案》(SOX)、NIST標準、GDPR和MITRE攻擊框架等各項管理性法規或制度。
