2020年网络安全的重点是“人为因素”,重点是“安全运营”,但安全运营的引擎——SIEM,一直是CISO们的一大负担。SANS2019报告(上图)显示,超过70%的大型企业仍然依赖安全信息和事件管理(SIEM)系统进行数据关联、安全分析和运营。此外,许多安全运营中心(SOC)团队围绕SIEM配备了其他工具,用于威胁检测/响应、调查/查询、威胁情报分析和流程自动化/编排。这就引出了一个问题:如果SIEM是安全分析和运营的“重量级”,为什么公司要补充这么多其他工具?研究表明,虽然SIEM擅长发现已知威胁并生成安全和合规报告,但它不适合检测未知威胁或其他安全操作场景。此外,23%的安全专家表示SIEM平台需要大量的人员培训和经验,而21%的安全专家认为SIEM需要持续调整并消耗大量运营资源才能有效。总之,SIEM不会很快失宠,但这显然还不够。DavidBianco在2013年提出的“痛苦金字塔”(PyramidofPain)众所周知。尖顶的兴趣点(TTP)是您在检测活动期间需要了解的指标。但在SIEM检测的历史及其当前状态中存在一些令人费解的谜团。本文只为揭开谜底,带你正确认识安全协会的前世今生,揭开SIEM的残酷真相。首先,让我们回到1999年,那时候主机入侵检测系统(HIDS)是高端的代名词,“SIEM”这个词在Gartner分析师眼中也是一个华丽的新玩意儿。然而,一些供应商实际上已经开始开发和销售“SIM”和“SEM”设备。要知道,这是1999年!设备很热!这些是很快将被称为SIEM的第一批工具,具有非常基本的“关联”规则(实际上,无非是聚合和计算单个属性,例如用户名或源IP等),例如“多个连接到同一个portwithmultipledestinationaddresses”,“CiscoPIXlogmessagecontainingSYNfloodrepeated50times”,“SSHloginfailed”等。其中很多规则都非常脆弱,攻击行为稍作改变就可以规避规则触发。此外,这些规则是设备相关的(例如,您必须为每个防火墙设备编写此类规则)。因此,SIM/SEM提供商必须加载成百上千条此类规则。客户在启用/禁用和调整众多规则的深渊中受苦。回到1999年,像DragonSquire这样的主机入侵检测系统确实是90年代安全技术的突破,它通过日志梳理并寻找诸如“FTP:NESSUS-PROBE”和“FTP:USER-NULL-REFUSED”之类的东西。跳过千禧年,让我们快进到2003-2004年——革命爆发了!SIEM产品竟然放出了两大招:归一化事件和事件分类。分析师花时间将设备事件ID映射到SIEM分类事件类型(例如,Windows事件ID1102应该去哪里?),然后为它们编写检测规则。这就是SIEM检测内容的编写变得有趣的地方!SIEM的这一巨大进步为我们带来了著名的关联规则,例如“同一目标地址的远程访问事件之后的多个漏洞利用事件”。这样的规则开始支持跨设备的通用检测逻辑,分析人员的生活变得更加美好!通用规则更适用(好像“任意利用”和“任意远程访问”与VNC访问等特定攻击不同),并且可以跨设备使用——你只需要写一次,然后甚至如果换成其他防火墙,这个关联规则仍然可以检测到恶意事件。哇,太神奇了!有了这个,你可以(可能)用几十条好的规则环游世界,而不是无数的正则表达式、子字符串和设备类型,跨越几十个系统和多个操作系统版本类型在事件ID之间悲惨。当时,SIEM是安全产品的重大进步,因为汽车取代了马车。此外,一些人对公共事件表达式(CEE)项目寄予厚望,开始努力生成实际可用的全局日志分类和模式(大约2005年)。你一觉醒来还是解放前,没想到解放后的事!现在,快进到今天,我们已经进入了2020年。其实现在的大部分检测内容还停留在90年代的风格——与原始日志狭隘、严谨的风格相呼应。只要看看Sigma的内容,1998年的NetworkIntelligenceenVisionSIM用户就可以理解其中的大部分检测!诚然,我们今天也有ATT&CK框架,但这解决了一个不同的问题。还有一个特别奇怪的角度:随着机器学习和分析的兴起,如果我们想要掌握更多的安全用例而不仅仅是检测,那么对干净的结构化数据的需求肯定会增加。然而,我们只是增加了数据总量,并没有多少数据可以提供给机器学习算法。我们需要更干净、更丰富的数据,而不是更多的数据!现在不是人多势众的时代,数据的质量比数量更重要!这个进化过程就像我们从马车时代到汽车时代,再到电动汽车,再到喷气汽车,再回到马车……那么,这些年到底发生了什么?从使用关联“魔杖”的15年ArcSight老手到使用现代工具管理检查团队的安全主管,一项对安全同行的调查给出了答案。但在揭晓最终答案之前,我们不妨回顾一下同行们在调查数据收集过程中的想法:rawsearchwinsproductsthatlackeventnormalizationornormalizationispoor(orlazytoevaluatetocustomerstodonormalizationwork),won市场出于不相关的原因(例如收集的数据量等),而新一代安全运营中心(SOC)分析师从未见过其他工具。因此,分析师只能使用手头的工具。好吧,我们暂时称这种推理逻辑为“原始搜索获胜”。猎人赢得了威胁。猎人得意洋洋,把传统的检查员逼到墙角,一脚踢出窗外。如今,威胁猎手试图像他们自己猎杀未知威胁一样检测已知攻击的迹象。这可以称为“猎人获胜”。FalsePositivesWon另一种想法:对“误报”(FPs)的容忍度降低(由于人才短缺加剧),因此流行编写更窄的检测规则以减少误报(“falsepositives”)。“报告”是绝对不可能的——我们只能写更多的规则来阻止漏报)。规则更窄,更容易测试。将这种思路称为“误报获胜”。数据多样性获胜另一个假设与现代威胁和收集的数据种类更多有关。由于我们需要检测更多种类更多的事物,因此规范化事件和分类事件被搁置一旁。将这种思路称为“数据/威胁多样性获胜”。您同意以上哪些结论?您在检测工作中遇到过类似情况吗?显然,以上解释都是盲人的猜测。直觉告诉我们,SIEM的魔力并不存在。当所有的部分拼接在一起时,我们逐渐看清了SIEM残酷的事实:SIEM中的归一化和分类方法实际上从未奏效!它在2003年首次创建时不起作用,此后每年都不起作用。在当前环境下仍是如此。规范化和分类方法在SIEM中无效的事实不会改变任何事情,除非发生逆转。意识到这一点真的很难过,特别是对于那些构建、传播、改进并试图在全球范围内(通过CEE)标准化该方法的人来说。事情的真相真的有那么糟糕吗?不幸的是,它是!SIEM事件分类其实...总是落后于时代,现在甚至比以前更落后;跨多个事件和日志源不一致——今天的每个供应商供应商都是一样的;供应商差异很大——没有一次性学习;错误和遗漏会随着时间的推移而累积;无法有效地测试我们今天面临的真正威胁。因此,我们甚至不能说“SIEM事件分类已死”,因为它从未真正存在过。例如,SIEM供应商的“身份验证失败”事件类别可能会遗漏新版本的软件(例如Windows更新引入的新型事件)、遗漏来自不常见日志源的事件(SAP登录失败)或遗漏到事件的错误映射其他东西(例如“其他身份验证”类别)。人们总是会自欺欺人,编写愚蠢的字符串匹配和基于正则表达式的东西,当涉及到威胁生命的入侵检测时,没有人会把希望寄托在事件分类上。下一代SIEM依赖下一代SOC根据SecurityBullSOC报告(上图),下一代SOC最重要的特征之一就是摆脱被SIEM主导的困境。下一代SOC的“大脑”将是SIEM、风险管理和威胁情报的融合。威胁情报正成为企业构建新型高效安全运营平台、提升安全运营能力的核心。作为企业内部安全日志的聚合器,SIEM的基本功能永远不会过时,本地安全日志也将成为“内生安全”中高价值的威胁情报来源(甚至比蜜罐和商业威胁情报更有价值)).下一代SIEM产品logRhythm的dashboard界面以及下一代SIEM产品无论是云端SaaS还是本地,也将顺应SOC智能化、自动化、平台化的大趋势。(Support)开源、云迁移、自动化、智能化是SIEM产品的四个转型方向。我们在IBMCloudPak、SplunkCloud、Exabeam、Hans、LogRhythm的产品路线中看到了下一代SIEM的影子。无论是下一代SOC还是SIEM,甚至是SOAR和TIP,其最终目标都是服务于新威胁下的风险管理和CISO新的绩效指标,而这些关键指标背后的安全运营变化,安全牛将在《下一代SOC报告》详细解释。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
