SecurityInformationandEventManagement(SIEM)起源于日志管理,但已经发展到比事件管理更强大。今天的SIEM软件提供商还引入了机器学习、高级统计分析和其他分析方法。什么是SIEM软件?SIEM软件可以为企业安全人员提供其IT环境中发生的活动的洞察力和跟踪记录。SIEM技术已经存在十多年了,最早是从日志管理发展而来的。它将安全事件管理(SEM)和安全信息管理(SIM)相结合,安全事件管理(SEM)实时分析日志和事件数据以提供威胁监控、事件关联和事件响应,安全信息管理(SIM)收集、分析和报告日志数据。SIEM的工作原理SIEM软件从公司的所有技术基础设施收集和聚合日志数据,从主机系统和应用程序到网络和安全设备,例如防火墙和防病毒过滤器。收集数据后,SIEM软件开始识别和分类事件并分析事件。该软件的主要目标有两个:生成安全相关事件的报告,例如成功/失败的登录、恶意软件活动和其他可能的恶意活动。如果分析表明某项活动违反了一组预定义的规则并且是潜在的安全问题,则发出警报。企业之间对更好的合规管理的需求是早期采用该技术的主要驱动力。审计员需要检查是否遵守法规,而SIEM提供监控和报告功能以满足HIPPA、SOX和PCIDDS等强制性要求。然而,专家表示,近年来,对更好的安全措施的需求一直是SIEM市场的更大驱动力。如今,大型企业通常将SIEM视为其安全运营中心(SOC)的基础。在分析和情报安全操作中使用SIEM软件的一个主要驱动力是市场上许多产品所包含的新功能。除了传统的日志数据,很多SIEM技术还引入了威胁情报源,而且很多SIEM产品都具备安全分析能力,不仅可以监控网络行为,还可以监控用户行为,可以给出一个动作是否恶意的更多信息.事实上,Gartner在其2017年5月的全球SIEM市场报告中特别指出了SIEM工具中的智能,并将其描述为“SIEM市场的创新正在以惊人的速度创造更好的威胁检测工具。报告进一步指出,供应商正在将机器学习、高级统计分析和其他分析方法引入到他们的产品中,其中一些还在试验人工智能和深度学习能力。由于具有更快、更准确的检测率的功能,提供商市场发展如此之快。但是,企业并不确定这些功能是否为公司带来了新的收益,或者如何为公司创造收入。对于此类技术的前景,ForresterResearch高级分析师RobStroud认为,借助AI和机器学习,我们可以进行推理和基于模式的监控和警报,但真正的机会是预测性修复。这就是市场今天正在做的事情。它正在从监控工具转变为建议修复的软件。未来,SIEM甚至可以自动化修复操作。企业中的SIEMSIEM软件只占全球企业安全支出的一小部分。Gartner估计,2017年全球企业安全支出约为984亿美元,而SIEM软件可能会收获24亿美元。Gartner预测SIEM技术支出将稳步增长,2018年将达到26亿美元,2021年将达到34亿美元。SIEM软件主要由大型企业和上市公司使用,合规性要求是采用该技术的重要原因。虽然一些中型企业也使用SIEM软件,但小企业既没有必要也没有意愿投资SIEM。分析人士表示,他们通常无力购买自己的解决方案,每年可能要花费数万至数十万美元。此外,小公司无力聘请持续维护SIEM所需的人才。也就是说,一些中小型企业(SMB)已经通过软件即服务从足以销售该服务的外包供应商那里获得了SIEM。鉴于流经SIEM系统的数据较为敏感,目前大型企业用户习惯于在本地运行SIEM软件。“你正在记录一些敏感的东西,这不是那种每个人都会冒险通过互联网发送的东西,”葛兰素史克美国SOC高级分析师和SANS研究所导师约翰哈伯德说。随着机器学习和人工智能在SIEM产品中的兴起,一些分析师还预计SIEM供应商会提出一个混合选项,在云中执行一些分析。云中情报的收集、整理和生产正在增加,因为提供商可以收集和梳理比公司更多的数据。SIEM工具和供应商选择基于全球销售情况,SIEM市场有几家主要供应商,特别是IBM、Splunk和HPE(惠普企业)。还有更多的主流玩家,如AlertLogic、Intel、LogRhythm、ManageEngine、MicroFocus、SolarWinds和Trustwave。根据Gartner2017年SIEM领域的魔力象限,Music表示,企业需要根据自己的目标评估产品,并决定他们需要哪种解决方案。与希望使用SIEM构建SOC的公司相比,主要寻求合规性的企业将更加重视报告等特定功能。同时,拥有PT级海量数据的企业也会寻找某些更适合自己需求的供应商,而数据较少的企业可能会选择其他供应商。同样,需要良好威胁追踪能力的公司将寻求先进的数据可视化工具和搜索能力。在评估SIEM供应商时,安全主管需要考虑许多其他因素,例如他们是否可以支持特定工具、系统中将有多少数据以及他们需要支付多少费用。例如,HPE的ArcSightESM是一个功能齐全的成熟工具,但需要大量的专业知识,而且比其他选项更昂贵。您的安全操作越复杂,您就越能充分利用您拥有的工具。鉴于选择SIEM的两种驱动力导致的功能需求不同,许多企业会选择两种不同的系统,一种侧重于合规性,但这会减慢威胁检测的速度。另一个是用于威胁检测的战术SIEM。最大化SIEM价值大多数公司仍然主要使用SIEM软件来跟踪和调查发生的事情。此用例是由不断升级的数据泄露威胁以及此类事件对安全主管和组织造成的日益严重的后果所驱动的。可以想象,如果公司被黑了,没有哪个CIO在被董事会问到的时候会说“我希望我知道”。他们最想说的应该是“我们会梳理日志数据,弄清楚到底发生了什么。是什么。”然而,许多公司现在正在超越SIEM的这种用例,并开始更多地使用该技术进行检测和近乎实时的响应。现在的问题是:你能检测多快?不断发展的机器学习正在帮助SIEM系统更准确识别异常和潜在的恶意活动。尽管有这些发展,组织仍面临着最大化工具有效性甚至从现有系统中提取最大价值的挑战。这有多种原因。首先,SIEM技术是资源密集型工具,需要有经验的实施、维护和调整的人员——并非所有企业都能完全投入的劳动力。许多企业购买该技术是因为他们知道这是他们需要的东西,但他们没有可以做到的人,或者他们不要按照他们需要的方式培训他们的人。要最大化SIEM软件的输出,您需要拥有高质量的数据。数据源越大越好该工具的输出和识别异常值的能力。然而,组织很难定义和提供正确的数据。即使拥有强大的数据和高端团队来操作SIEM技术,软件本身也有局限性。SIEM在检测可接受的活动与合法的潜在威胁方面并不完全准确,正是这种差异导致许多SIEM部署中出现大量误报。这种情况需要企业内部进行强有力的治理和有效的程序,以防止安全团队因警报过载而不知所措。安全人员通常从追逐大量误报开始。成熟的公司会学会调整他们的工具,让软件了解什么是正常事件,从而减少误报的数量。另一方面,一些安全团队会跳过此步骤并简单地忽略太多误报——这种行为可能会错过真正的威胁。更先进的公司还编写脚本来自动化更多的常规功能。例如,从不同的数据源中提取上下文数据以构建更完整的警报视图,加速调查和识别真正的威胁。这需要良好的流程和安全操作的成熟度。也就是说,不仅仅是将SIEM作为一个独立的工具使用,而是将其与其他技术相结合,并有一个整体流程来指导各种行动。这减少了员工花在低端操作上的时间,使他们能够专注于改善公司整体安全状况的高价值任务。
