SIEM（安全信息事件管理）系統(tǒng)的應(yīng)用已經(jīng)超過(guò)20年。在此期間，SIEM由最初的邊界安全事件關(guān)聯(lián)工具逐漸發(fā)展成為企業(yè)網(wǎng)絡(luò)安全治理、風(fēng)險(xiǎn)管理以及合規(guī)建設(shè)的重要支撐平臺(tái)。今天，在很多企業(yè)中，SIEM已經(jīng)成為安全團(tuán)隊(duì)日常處理威脅事件的優(yōu)先選項(xiàng)，不僅可以從IT基礎(chǔ)架構(gòu)中的海量信息資源中收集和分析各種攻擊活動(dòng)，同時(shí)也是實(shí)現(xiàn)安全自動(dòng)化、DevSecOps、態(tài)勢(shì)感知等安全管理和運(yùn)營(yíng)技術(shù)的基礎(chǔ)。

　　昨天：從日志聚合到安全運(yùn)營(yíng)

　　第一代的SIEM產(chǎn)品誕生于本世紀(jì)初，起初是被作為一種日志聚合的工具，只是在一些大型頭部企業(yè)使用，用以解決數(shù)據(jù)孤島的問(wèn)題，同時(shí)還可用于歷史數(shù)據(jù)保留和法律合規(guī)遵從。最早期的SIEM代表性廠商包括ArcSigh（現(xiàn)隸屬M(fèi)icro Focus）和QRadar（現(xiàn)隸屬IBM）等公司。

　　在第一代SIEM產(chǎn)品中，使用了非?；A(chǔ)的關(guān)聯(lián)引擎，建立非常簡(jiǎn)單的關(guān)聯(lián)規(guī)則，例如“如果看到X、Y和Z，就應(yīng)該在工單系統(tǒng)中打開(kāi)工單，并向安全團(tuán)隊(duì)發(fā)送警報(bào)”。由于第一代SIEM產(chǎn)品針對(duì)非結(jié)構(gòu)化數(shù)據(jù)的本地處理能力非常薄弱，可能需要花很長(zhǎng)的時(shí)間來(lái)查詢數(shù)據(jù)，并只能獲得事件原因的初步分析。鑒于技術(shù)原因，這個(gè)時(shí)期的SIEM可用性非常糟糕，甚至給一些客戶留下了花錢買罪受的感受。

　　隨著時(shí)間的推移，企業(yè)的數(shù)字化轉(zhuǎn)型快速發(fā)展，各種安全設(shè)備的運(yùn)營(yíng)數(shù)據(jù)開(kāi)始激增，最早期的SIEM產(chǎn)品逐漸跟不上數(shù)據(jù)產(chǎn)生的步伐，因?yàn)槠渌褂玫慕Y(jié)構(gòu)化數(shù)據(jù)庫(kù)無(wú)法與時(shí)俱進(jìn)，而編寫新的解析器需要很長(zhǎng)的開(kāi)發(fā)周期。

　　當(dāng)Splunk公司進(jìn)入SIEM市場(chǎng)后，迅速改變了第一代SIEM廠商的游戲規(guī)則。該公司研發(fā)了一種靈活而強(qiáng)大的數(shù)據(jù)存儲(chǔ)和搜索引擎，通過(guò)索引技術(shù)，可以搜索各種類型的原始數(shù)據(jù)（結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)），并迅速將數(shù)據(jù)轉(zhuǎn)換成可搜索的事件。這種技術(shù)是一項(xiàng)突破，因?yàn)樗筍IEM工具更容易獲取、搜索、存儲(chǔ)和顯示所有不斷增加的數(shù)據(jù)，并獲得洞察分析能力。在2012年，Splunk首次作為領(lǐng)導(dǎo)者出現(xiàn)在Gartner 發(fā)布的SIEM魔力象限中，并在此后的很多年占據(jù)著市場(chǎng)領(lǐng)導(dǎo)者位置。

　　根據(jù)研究機(jī)構(gòu)SANS在2019年研究報(bào)告數(shù)據(jù)顯示，截至2018年底，有超過(guò)70％的大型企業(yè)開(kāi)始依賴SIEM系統(tǒng)來(lái)進(jìn)行數(shù)據(jù)關(guān)聯(lián)、安全分析和運(yùn)營(yíng)。同時(shí)，很多企業(yè)的安全運(yùn)營(yíng)中心團(tuán)隊(duì)圍繞SIEM配備了用于威脅檢測(cè)/響應(yīng)、調(diào)查/查詢、威脅情報(bào)分析以及流程自動(dòng)化/編排的其他工具。SIEM正式發(fā)展成為企業(yè)安全運(yùn)營(yíng)的發(fā)動(dòng)機(jī)。

　　今天：應(yīng)用成本不斷增加

　　當(dāng)以零日攻擊為代表的高級(jí)威脅大量出現(xiàn)后，SIEM行業(yè)的競(jìng)爭(zhēng)格局再一次開(kāi)始改變。傳統(tǒng)SIEM系統(tǒng)由于存在難以實(shí)現(xiàn)精準(zhǔn)告警、漏報(bào)較為嚴(yán)重等問(wèn)題，已不是企業(yè)安全運(yùn)營(yíng)管理的理想選擇。作為企業(yè)內(nèi)部安全日志的匯聚器，SIEM的基本功能或許永遠(yuǎn)不會(huì)過(guò)時(shí)，因?yàn)楸镜匕踩罩臼冀K是最具價(jià)值的威脅情報(bào)來(lái)源。但安全團(tuán)隊(duì)需要盡快升級(jí)優(yōu)化SIEM，配合更多的威脅檢測(cè)/響應(yīng)、調(diào)查/查詢、威脅情報(bào)分析以及流程自動(dòng)化/編排等先進(jìn)安全能力，以實(shí)現(xiàn)更加高效、準(zhǔn)確的安全威脅檢測(cè)。

　　為了跟上威脅發(fā)展的步伐，現(xiàn)代的SIEM產(chǎn)品需要更深入地了解所存儲(chǔ)的數(shù)據(jù)，并運(yùn)用更多的網(wǎng)絡(luò)智能技術(shù)來(lái)應(yīng)對(duì)挑戰(zhàn)，用戶和實(shí)體行為分析（UEBA）和機(jī)器學(xué)習(xí)技術(shù)應(yīng)運(yùn)而生。各大安全廠商都積極嘗試將新一代SIEM產(chǎn)品與 UEBA、安全編排、自動(dòng)化和響應(yīng) （ SOAR ） 和擴(kuò)展檢測(cè)和響應(yīng) （ XDR ） 結(jié)合起來(lái)，以實(shí)現(xiàn)更加智能化的威脅檢測(cè)和響應(yīng)能力。

　　在Gartner最新發(fā)布的2022安全運(yùn)營(yíng)技術(shù)成熟度曲線中，對(duì)主流的安全運(yùn)營(yíng)技術(shù)進(jìn)行了分析。報(bào)告認(rèn)為，SIEM技術(shù)已步入穩(wěn)步發(fā)展并趨進(jìn)成熟的階段，這個(gè)分析也正符合市場(chǎng)的現(xiàn)狀，很多企業(yè)在安全運(yùn)營(yíng)中已把SIEM作為主要實(shí)現(xiàn)平臺(tái)。

　　從理論上講，更多的數(shù)據(jù)可以提供更好的洞察力，但這也容易錯(cuò)過(guò)一些嚴(yán)重的安全威脅，而且還會(huì)產(chǎn)生較多誤報(bào)。一旦重要報(bào)警與大量誤報(bào)信息同時(shí)出現(xiàn)時(shí)，就會(huì)導(dǎo)致重要報(bào)警數(shù)據(jù)淹沒(méi)在海量的誤報(bào)及非重要報(bào)警中，無(wú)法立即響應(yīng)真實(shí)報(bào)警。

　　由于總體安全運(yùn)營(yíng)數(shù)據(jù)爆炸式增長(zhǎng)，導(dǎo)致SIEM應(yīng)用成本快速增長(zhǎng)，每年在SIEM方案升級(jí)上的投入讓企業(yè)難以承受。為了控制應(yīng)用成本，許多企業(yè)的安全團(tuán)隊(duì)必須做出艱難的決定，決定他們實(shí)際將多少（以及哪些類型的）數(shù)據(jù)提取到SIEM中進(jìn)行分析，其余的數(shù)據(jù)只能存儲(chǔ)在沒(méi)有處理能力的系統(tǒng)中，無(wú)法及時(shí)得到處理和分析，這會(huì)帶來(lái)巨大的安全風(fēng)險(xiǎn)。

　　鑒于SIEM技術(shù)目前的應(yīng)用成本挑戰(zhàn)，企業(yè)組織需要根據(jù)自身的需求，選用更好、更具成本效益的技術(shù)解決方案。服務(wù)化的SIEM方案可以實(shí)現(xiàn)高度智能化的分析和檢測(cè)，同時(shí)價(jià)格也更加合理、透明，這對(duì)于很多中小企業(yè)、初創(chuàng)公司和非營(yíng)利組織來(lái)說(shuō)，是一種比較合適的選擇。

　　明天：SIEM的未來(lái)在云端

　　根據(jù)Gartner的研究數(shù)據(jù)，全球SIEM產(chǎn)品市場(chǎng)已從從2020年的34.1億美元增長(zhǎng)到了2021年的41億美元，取得了20%的增長(zhǎng)率。SIEM市場(chǎng)發(fā)展的主要驅(qū)動(dòng)因素仍然是檢測(cè)、響應(yīng)、攻擊面管理以及合規(guī)。未來(lái)，企業(yè)希望未來(lái)的SIEM產(chǎn)品能夠在寬度和深度兩個(gè)方面同時(shí)滿足其數(shù)字化業(yè)務(wù)發(fā)展和安全防護(hù)的需要。

　　新一代SIEM產(chǎn)品繼續(xù)不斷吸納新的功能，包括SOAR、UEBA、TIP、自服務(wù)安全分析、持續(xù)威脅內(nèi)容創(chuàng)建、Incident管理等，這需求SIEM產(chǎn)品進(jìn)一步轉(zhuǎn)變架構(gòu)策略以適應(yīng)客戶需求，而最終指向就是云化Cloud SIEM（包括云原生化和云托管）。云技術(shù)不僅可以讓SIEM整合更多威脅檢測(cè)引擎，實(shí)現(xiàn)更快的運(yùn)營(yíng)數(shù)據(jù)分析，還可以有效降低企業(yè)的應(yīng)用成本。

　　Gartner分析師認(rèn)為，Cloud SIEM將會(huì)成為未來(lái)SIEM產(chǎn)品發(fā)展的首要形態(tài)，這也意味著SIEM的架構(gòu)發(fā)生了重大變化。云化的好處不僅是順應(yīng)云時(shí)代和遠(yuǎn)程辦公時(shí)代的需要，更重要的是為了降低SIEM自身的部署和維護(hù)的負(fù)擔(dān)，將重點(diǎn)投入到基于SIEM的安全運(yùn)行上。Cloud SIEM對(duì)中小型企業(yè)來(lái)說(shuō)是非常理想的選擇。

　　此外，對(duì)于不想在SIEM上投入太多資源的企業(yè)來(lái)說(shuō)，由托管安全服務(wù)提供商（MSSP）來(lái)運(yùn)營(yíng)SIEM也是一個(gè)很好的選擇。但是首先需要清楚的了解角色和責(zé)任?？偟膩?lái)說(shuō)，未來(lái)的云SIEM提供商更多的職責(zé)是初期建設(shè)部署和優(yōu)化完善SIEM產(chǎn)品的功能更新；MSSP的職責(zé)主要是中后期的威脅場(chǎng)景分析應(yīng)用及事件跟蹤處置，而企業(yè)用戶只需要提出應(yīng)用需求和確認(rèn)決策。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<