安全信息事件管理(SIEM)系统已经使用了20多年,在许多组织中,它是安全管理人员日常处理威胁事件的首选方案。然而,在过去五年中,网络攻击变得越来越隐蔽、越来越复杂、影响越来越大。因此,基于传统签名的检测技术也需要不断向机器学习技术演进,从单一的威胁检测变成联合检测和响应的解决方案。在此背景下,传统的SIEM系统存在难以实现精准告警、遗漏严重等问题,不再是企业安全运营管理的理想选择,但这并不意味着它需要被淘汰。SIEM作为企业内安全日志聚合器的基本功能可能永远不会过时,因为本地安全日志仍然是最有价值的威胁情报来源。但安全团队需要尽快升级优化SIEM,具备威胁检测/响应、调查/查询、威胁情报分析、流程自动化/编排等更高级的安全能力,以实现更高效、更准确的发现、检测、和应对安全威胁。安全专家总结梳理了当前SIEM系统的五大应用挑战和解决方案,以帮助企业更好地开展安全运营感知工作。挑战一:太多的原始数据和太多的噪音解决方案:自动化数据处理以消除“误报”理论上,更多的数据应该提供更好的洞察力,但也很容易淹没有价值的信号。问题不在于我们没有足够的数据,问题在于我们有太多不重要的警报和误报!如今,SIEM技术跟不上安全团队收集和生成的海量数据。不仅会漏掉大量的安全威胁,还会产生更多的误报。当大量重要告警和非重要告警或误报同时出现时,重要告警数据将淹没在大量误报和非重要告警中,无法立即响应真实告警。想象一下,当安全分析师查看200个警报时,却发现只有4或5个是重要警报,那将是多么崩溃!“检测”和“响应”之间最重要的环节是对告警数据进行分类处理。AI可以比任何分析师更快地处理数据,并且可以24/7全天候工作。15分钟的检测过程可缩短至几秒,并可生成完整的事件分析报告,供企业团队在人工响应时查阅。挑战二:过时的、基于规则的识别技术解决方案:SIEM在智能自动检测技术上落后的另一个原因是因为它们是基于签名规则检测的。尽管行业对其进行了改进和升级,但仍然跟不上大数据问题。尝试使用简单的、基于规则的技术进行有效的威胁检测注定会失败。当然,如果系统识别出它以前遇到的威胁,并且完全相同的威胁以相同的方式“回击”,您确实会收到警报。然而,大多数现实世界的威胁不是这样的。许多团队甚至发现,经验丰富的安全分析师或技术工程师能够检测到比SIEM更多的未知威胁。在过去几年中,高级机器学习已成为一种替代方案,但SIEM在AI技术方面仍处于起步阶段。挑战三:检测无力,无响应解决方案:一站式自动检测和响应SIEM一直存在“检测无力,无响应”的问题,根本就没有响应的打算。但有效的警报分类需要两者(检测和响应)之间的交互。组织可以通过两种方式解决这个问题:通过添加另一种技术来对抗产生许多误报的嘈杂系统;或者通过查询和分析检测技术为什么会产生如此多的警报和误报。通过智能自动化,分析师可以将他们的分类过程编码到检测引擎中,让机器来完成。将检测和响应视为两个独立的部分是不正确的。我们应该将检测和响应视为同一过程的两个阶段。挑战四:SIEM系统不“学习”解决方案:机器学习可以通过不断学习变得更好大多数情况下,SIEM不学习或很少使用机器学习算法,不利于安全运营的高效开展。现在,想象一下,你可以为每个安全分析师和工程师雇佣10个“助手”,这些“助手”可以持续学习,完全可定制,自动执行任务,执行任务的速度比人类快10倍、100倍甚至1000倍,而且7X24跑,这是什么场景?实践证明,借助机器学习技术,企业安全运营中心(SOC)可以更有效地检测、分析和应对海量数据,更重要的是,速度比任何人都要快1000倍左右。这意味着安全团队可以腾出时间专注于只有他们才能完成的高级工作,例如难以或不可能自动执行的任务,或者需要对行业和企业有深入、人性化理解的任务。挑战五:SIEM系统应用成本过高解决方案:经济实惠且灵活的自动化选项根据一项调查,32%的安全专家表示SIEM操作需要大量的人员培训和经验,而21%的人认为SIEM需要不断调整。它经过优化并消耗大量运营资源才能有效。这就是为什么许多企业安全团队必须做出艰难的决定,决定他们可以将多少(以及什么类型的)数据提取到SIEM中进行分析。其余数据只能存储在没有处理能力的系统中,无法处理、分析和提取有关威胁的有价值的见解,甚至有时会忽略明显的攻击迹象(如Log4j事件)。这带来了巨大的安全风险。针对SIEM应用成本的差异,企业组织可以根据自身需求选择更好、性价比更高的技术方案。智能自动化可实现高度检测和响应,价格实惠、透明,并且可以根据每个组织的业务需求进行定制。这将更适合许多中小企业、初创公司和非营利组织。原文链接:https://www.logichub.com/blog/goodbye-lonely-siem-hello-mdrhttps://www.logichub.com/hubfs/2022%20ebook_%20Five%20Easy%20Steps%20to%20Replace%20Your%20SIEM.pdf
