SIEM(安全信息事件管理)系统已经使用了20多年。在此期间,SIEM从最初的边界安全事件关联工具,逐步发展成为企业网络安全治理、风险管理、合规建设的重要支撑平台。如今,在许多企业中,SIEM已成为安全团队日常处理威胁事件的优先选择。它不仅可以从IT基础设施的海量信息资源中收集和分析各种攻击活动,还可以实现安全自动化、DevSecOps和态势感知。安全管理和运营技术的基础知识。昨天:从日志聚合到安全运维第一代SIEM产品诞生于本世纪初。它最初是作为日志聚合工具使用的,只有一些大型龙头企业使用它来解决数据孤岛问题。可用于历史数据保留和法律合规性。最早的SIEM代表性厂商包括ArcSigh(现为MicroFocus)和QRadar(现为IBM)等公司。在第一代SIEM产品中,使用了一个非常基础的关联引擎,建立了非常简单的关联规则,比如“如果你看到X、Y、Z,你应该在工单系统中开一个工单并发送给安全团队报警”。由于第一代SIEM产品对非结构化数据的本地处理能力很弱,查询数据可能需要很长时间,只能得到对事件原因的初步分析。由于技术原因,这段时间的SIEM可用性非常差,甚至给一些客户留下了花钱买的感觉。随着时间的推移,企业数字化转型快速发展,各种安全设备的运行数据开始激增。最早的SIEM产品逐渐跟不上数据生成的步伐,因为他们使用的结构化数据库跟不上时代的步伐,并且编写一个新的解析器需要很长的开发周期。当Splunk进入SIEM市场时,它迅速改变了第一代SIEM供应商的游戏规则。公司开发了灵活而强大的数据存储和搜索引擎,通过索引技术,可以搜索各种类型的原始数据(结构化数据和非结构化数据),并快速将数据转化为可搜索的事件。这项技术是一项突破,因为它使SIEM工具更容易捕获、搜索、存储和显示所有不断增加的数据并获得洞察力。2012年,Splunk首次以领导者身份出现在Gartner发布的SIEM魔力象限中,此后连续多年占据市场领导地位。根据研究机构SANS2019年研究报告中的数据,截至2018年底,超过70%的大型企业开始依赖SIEM系统进行数据关联、安全分析和运营。同时,许多企业SOC团队围绕SIEM配备了其他工具,用于威胁检测/响应、调查/查询、威胁情报分析和流程自动化/编排。SIEM已正式演变成企业安全运营的引擎。今天:应用成本持续增加当以零日攻击为代表的高级威胁大量出现时,SIEM行业的竞争格局又开始发生变化。传统的SIEM系统存在难以实现精准告警、漏报严重等问题,已不再是企业安全运营管理的理想选择。SIEM作为企业内安全日志聚合器的基本功能可能永远不会过时,因为本地安全日志仍然是最有价值的威胁情报来源。但安全团队需要尽快升级优化SIEM,配合威胁检测/响应、调查/查询、威胁情报分析、流程自动化/编排等更高级的安全能力,实现更高效、更精准的安全威胁检测。为了跟上威胁发展的步伐,现代SIEM产品需要更深入地了解存储的数据并应用更多的网络智能技术来应对挑战。用户和实体行为分析(UEBA)和机器学习技术应运而生。各大安全厂商都在积极尝试将新一代SIEM产品与UEBA、安全编排、自动化与响应(SOAR)和扩展检测与响应(XDR)相结合,实现更加智能的威胁检测与响应能力。在Gartner最新发布的2022年安全运营技术成熟度曲线中,对主流安全运营技术进行了分析。报告称,SIEM技术已进入稳步发展和成熟阶段,这一分析也符合当前市场形势。许多企业已经将SIEM作为安全运营的主要实施平台。理论上,更多的数据可以提供更好的洞察力,但也容易漏掉一些严重的安全威胁,也会产生更多的误报。一旦重要告警和大量误报同时出现,重要告警数据就会淹没在大量误报和非重要告警中,无法立即响应真实告警。由于整体安全运营数据的爆发式增长,SIEM应用成本快速增长,每年对SIEM解决方案升级的投入已成为企业难以承受的。为了控制应用程序成本,许多企业安全团队必须做出艰难的决定,即他们实际将多少(以及什么类型)数据引入SIEM进行分析,其余数据存储在没有处理能力的系统中。如果不能及时处理和分析,将带来巨大的安全隐患。鉴于当前SIEM技术的应用成本挑战,企业组织需要根据自身需求选择更优、性价比更高的技术方案。服务化的SIEM解决方案,可以实现高度智能化的分析检测,价格更加合理透明。这对于很多中小企业、创业公司和非营利组织来说是一个更合适的选择。明天:SIEM的未来在云端根据Gartner的研究数据,全球SIEM产品市场从2020年的34.1亿美元增长到2021年的41亿美元,实现了20%的增长率。SIEM市场增长的主要驱动力仍然是检测、响应、攻击面管理和合规性。未来,企业希望未来的SIEM产品能够在广度和深度上满足企业数字化业务发展和安全防护的需求。新一代SIEM产品不断吸纳新功能,包括SOAR、UEBA、TIP、自助式安全分析、持续威胁内容创建、事件管理等,这需要SIEM产品进一步改变架构策略以满足客户需求,最后一点是云CloudSIEM(包括云原生和云托管)。云技术不仅可以让SIEM集成更多的威胁检测引擎,实现更快的运营数据分析,还可以有效降低企业的应用成本。Gartner分析师认为,CloudSIEM将成为未来SIEM产品开发的主要形态,这也意味着SIEM的架构发生了重大变化。云化的好处不仅仅是满足云时代和远程办公时代的需求,更重要的是减轻SIEM自身部署和维护的负担,专注于基于SIEM的安全运营。CloudSIEM是中小型企业的理想选择。此外,让托管安全服务提供商(MSSP)运行SIEM对于不想在SIEM上投入太多资源的企业来说也是一个不错的选择。但首先,需要清楚地了解角色和职责。总的来说,未来的云SIEM提供商将更多地负责初期的建设和部署,优化完善SIEM产品的功能更新;MSSP的职责主要是中后期的威胁场景分析应用和事件跟踪处理,而企业用户只需要提出应用需求和确认决策即可。参考链接:https://www.cybersecurity-insiders.com/the-evolution-of-siem-where-its-been-and-where-it-is-going/
