SIEM(安全信息和事件管理)堪稱企業(yè)安全運營的發(fā)動機,它不但從IT基礎(chǔ)架構(gòu)中的海量信息資源中收集和分析各種活動,同時也是安全自動化、DevSecOps、下一代SOC等安全管理和運營的基礎(chǔ)。
SANS 2019年的報告(下圖)顯示,超過70%的大型企業(yè)仍然依賴安全信息和事件管理(SIEM)系統(tǒng)來進行數(shù)據(jù)關(guān)聯(lián)、安全分析和運營。此外,很多企業(yè)的安全運營中心(SOC)團隊還圍繞SIEM配備了用于威脅檢測/響應(yīng)、調(diào)查/查詢、威脅情報分析以及流程自動化/編排的其他工具。
沒有人懷疑SIEM的重要性,但是由于SIEM本身也存在諸多疑難問題(例如與大量安全工具的可擴展和集成性、需要大量人員培訓(xùn)和經(jīng)驗、消耗大量運營資源、誤報過多、對新威脅力的響應(yīng)不從心、供應(yīng)商產(chǎn)品之間差異過大等)。因此,企業(yè)選擇SIEM需要格外謹慎,不僅僅是因為該產(chǎn)品是企業(yè)安全運營的基石,SIEM需要考量的因素眾多(尤其是考慮到當(dāng)前很多企業(yè)安全架構(gòu)正在面臨重大升級或者DevSecOps范型轉(zhuǎn)移),同時還有很強的鎖定效應(yīng)。
近日,國外多位網(wǎng)絡(luò)安全專家就SIEM的選型發(fā)表了觀點,安全牛整理如下:
Elastic Security高級總監(jiān) Jae Lee
SIEM是很成熟的產(chǎn)品類別,并且還在不斷發(fā)展中。但是,隨著SecOps從“傳統(tǒng)”轉(zhuǎn)變?yōu)椤白赃m應(yīng)”,SIEM產(chǎn)品需要支持團隊的“進化”。
首先,從人的角度來看:傳統(tǒng)安全技能是基于工具的(例如,漏洞、防火墻、IDS/IPS等),但是未來的安全運營需要更廣泛的技能,例如處理和分析數(shù)據(jù)、進行協(xié)作研究、了解對手/廠商等,一個好的SIEM方案應(yīng)當(dāng)能幫助安全團隊增強和發(fā)展這些技能。
其次是流程。提升技能、不再被告警“統(tǒng)治”(除非允許),預(yù)定義的靜態(tài)SOP /預(yù)案對于新一代的SIEM來說是不夠的。團隊現(xiàn)在需要進行實時分析以進行搜尋,包括進行研究、逆向工程和模擬威脅等等。上下文(context)決定一切。有效地進行搜尋和操作需要完全的可見性——不是在單獨的工具中,而是在SIEM中。
最后是技術(shù)。全面的安全可見性不僅指廣泛的覆蓋范圍,也包括快速的見解。同樣,檢測需要支持OOTB。例如端點安全中,OOTB檢測具有很高的準確性。SIEM中應(yīng)該應(yīng)用相同的規(guī)則,而不要求每個分析師都是規(guī)則編寫專家。SIEM不僅是“技術(shù)”,還需要經(jīng)過現(xiàn)實世界驗證過的安全性內(nèi)容。
隨著SecOps的成熟,企業(yè)通常需要大量投資來維護SIEM。安全主管必須有效阻止威脅來證明安全投資的合理性。你需要樹立目標,例如通過部署SIEM滿足快速發(fā)展的安全需求,并就擴展性和靈活性向供應(yīng)商提出一些尖刻的問題——從檢測到集成,部署選項到定價指標。
Christopher Meenan,IBM Cloud和認知軟件QRadar產(chǎn)品管理和策略總監(jiān)
選擇SIEM解決方案首先要考慮的是您需要解決的是哪種用例,例如是在云轉(zhuǎn)換期間保護企業(yè)?還是構(gòu)建統(tǒng)一的IT和OT安全運營程序?還是僅解決合規(guī)性問題?SIEM的用例是千差萬別的。不同用例的集成、用例內(nèi)容、分析和部署方法的需求也有很大差異。
可以咨詢供應(yīng)商幫助解決需求問題。了解包括哪些集成和用例內(nèi)容,以及哪些需要單獨的許可證或自定義開發(fā)。了解可用的分析以及如何使用這些分析來檢測已知和未知威脅。詢問本機支持哪些框架,例如MITER ATT&CK。
如果像大多數(shù)公司一樣,您的團隊人手不足,這意味著您需要可用性更高的產(chǎn)品,這些產(chǎn)品可以幫助縮短新分析師的學(xué)習(xí)曲線,并使經(jīng)驗豐富的團隊成員更有效率。詢問每種解決方案如何在檢測、調(diào)查和響應(yīng)過程中如何提高效率。如果需要降低管理成本,同時還需要詢問有關(guān)SaaS部署和MSSP合作伙伴關(guān)系的信息。
最重要的是,不要害羞,要求廠商提供概念驗證以確保您正在考慮的產(chǎn)品對您有用。
Exabeam首席安全策略師 Stephen Moore
即使是經(jīng)驗和資源最豐富的安全團隊也很容易被一天之內(nèi)收到的SIEM警報數(shù)量所淹沒,讓SOC安全人員頭大的問題還有很多,例如基于憑據(jù)攻擊的復(fù)雜性、警報疲勞、缺乏熟練的分析師和漫長的調(diào)查時間等。很多都是傳統(tǒng)SIEM方案無法解決的。
現(xiàn)在,許多組織正在將其SIEM遷移到云中,這使分析師可以利用更多的計算能力來篩選、解釋和運營SIEM數(shù)據(jù)。現(xiàn)在,他們將更多的時間花在了發(fā)現(xiàn)不利因素上,而不是平臺和服務(wù)器支持上。但是要為“企業(yè)”選擇合適的SIEM,您需要花時間調(diào)查咨詢。您需要確保SIEM的功能與業(yè)務(wù)的目標、關(guān)注和期望保持一致,顯然,很多企業(yè)的目標和期望在最近幾個月中已經(jīng)發(fā)生了重大變化。最重要的是,企業(yè)需要花一些時間來提問。
然后,基于已知的攻擊者行為和違規(guī)結(jié)果做出選擇,重點關(guān)注憑據(jù)相關(guān)信息,確保您的平臺具有適應(yīng)性和以對象為中心。詢問廠商這樣的問題,例如產(chǎn)品是否會縮短您回答問題的時間(TTA),例如“與該警報關(guān)聯(lián)的帳戶或資產(chǎn)是什么?” 或者“事件之前,之中和之后發(fā)生了什么?”
最后,任何解決方案都需要幫助您的SOC分析人員專注于正確的事情。自動化的關(guān)鍵是“自動化”——既以時間表或故事板的形式完整展示事件的情節(jié),又可以在恢復(fù)過程中提供自動化的事件響應(yīng)功能。部分調(diào)查流程的自動化對于事件響應(yīng)人員來說意義重大,可以更快地采取行動,最大程度地降低響應(yīng)不完全的風(fēng)險。
Rapid7首席安全研究員 Wade Woolwine
盡管SIEM這個縮寫的第一個詞是“安全”,但事件和日志管理不僅僅針對安全團隊。
當(dāng)企業(yè)打算投資SIEM或替換現(xiàn)有SIEM時,他們應(yīng)考慮跨安全性、IT/云、工程、物理安全性以及任何其他可能從集中式日志聚合中受益的業(yè)務(wù)部門的用例。一旦確定了利益相關(guān)者,明確了記錄日志的類型、來源和用例,企業(yè)才能制定出評估SIEM供應(yīng)商的需求主清單。
企業(yè)還應(yīng)該認識到用例將隨著時間而變化,不斷會有新的用例“沖擊”SIEM,尤其是在安全團隊內(nèi)部。因此,企業(yè)還應(yīng)將以下內(nèi)容視為支持未來增長的SIEM的硬性要求:
·支持安全團隊添加和分類自定義事件源
·支持基于云的事件源
·具有高級跨數(shù)據(jù)類型搜索功能和支持正則表達式的字段搜索
·可保存的警報搜索
·使用動態(tài)儀表板報告保存搜索
·整合威脅源的能力
·支持自動化平臺集成
·API支持
·報價包括多日培訓(xùn)
LogPoint首席執(zhí)行官 Jesper Zerlang
隨著企業(yè)基礎(chǔ)架構(gòu)復(fù)雜性的增加,現(xiàn)代SIEM解決方案的關(guān)鍵能力是能夠從任何地方捕獲數(shù)據(jù)。這包括云中和本地數(shù)據(jù)以及來自軟件(包括SAP等企業(yè)應(yīng)用程序)的數(shù)據(jù)。在當(dāng)今復(fù)雜的威脅形勢下,集成UEBA并幫助企業(yè)快速增強安全性分析是SIEM的大勢所趨。
SIEM解決方案的效率完全取決于您輸入的數(shù)據(jù)。如果SIEM解決方案的許可證模型依賴于攝取的數(shù)據(jù)量或事務(wù)數(shù)量,那么由于數(shù)據(jù)量的整體增長,成本將不斷增加。因此,有些企業(yè)會選擇讓縮小SIEM的覆蓋范圍,忽略部分基礎(chǔ)架構(gòu)以降低成本,這種做法非常危險。
選擇許可模型的SIEM時,需要確保該模型支持企業(yè)的完全數(shù)字化并且其未來成本可以預(yù)測。這將確保業(yè)務(wù)需求與您的技術(shù)選擇保持一致。最后一點,但也可能是最重要的一點:選擇那些有段時間見效案例的SIEM方案,并且確保能夠按時完成部署的SIEM項目。SIEM部署,無論是初次實施還是替代,通常被認為是復(fù)雜且耗時的,這方面要保持高度警惕。