不只是云原生!下一代SIEM需要具备的7种能力

传统的SIEM一直存在“弱检测,无响应”问题,但检测识别威胁只是开始,快速响应并应对威胁才至关重要。下一代SIEM应具备自动化的威胁事件响应能力,能够创建符合安全行业最佳实践的响应流程,与广泛的第三方产品与工具进行紧密集成,采取一系列明确操作进行响应处置,并给出应该采取的行动建议。

本文来自微信公众号“安全牛”,由:安全牛编译整理。

今天,SIEM(安全信息事件管理)系统已经成为企业安全团队日常处理威胁事件的最优先选项之一,不仅可以从IT基础架构中的海量信息资源中收集和分析各种攻击活动,同时也是组织实现安全自动化、DevSecOps、态势感知等安全管理和运营技术的基础。

然而,随着以零日攻击为代表的高级威胁大量出现后,SIEM行业的竞争格局正在发生改变。传统的SIEM系统由于存在难以实现精准告警、漏报较为严重等问题,已不是企业安全运营管理的理想选择,安全团队需要在原有SIEM方案功能的基础上,融合更多的威胁检测/响应、调查/查询、威胁情报分析以及流程自动化/编排等先进安全能力,在宽度和深度两个方面同时满足其数字化业务发展和安全防护的需要。

为了跟上企业的应用需求,各大安全厂商都积极推进下一代SIEM产品的研发,在不断吸纳新的功能同时,并积极尝试通过云计算技术,对传统SIEM产品的设计架构进行云化改造。研究人员表示,当企业组织开始选型评估下一代SIEM解决方案时,应该明确并优先考虑以下关键能力指标,以确保SIEM方案切实可以满足数字化业务稳定开展的需求。

1、支持云原生和多云部署

传统SIEM通常部署在本地数据中心设备上,本地化部署没有考虑过云计算环境。随着企业云计算应用的快速发展,传统SIEM本地化部署方案难以保护云端应用,也无法解决安全团队面临的云端基础设施监控的挑战。

研究机构Gartner认为,Cloud SIEM将会成为下一代SIEM产品发展的首要形态,这也意味着SIEM的设计架构将会发生重大变化。云化的好处不仅是顺应云时代和远程办公时代的需要,更重要的是为了降低SIEM自身的部署和维护的负担,将重点投入到基于SIEM的安全运行上。Cloud SIEM对中小型企业来说更是非常理想的选择。

2、提供全面可观察性

传统的SIEM方案难以在大规模环境下整合企业的所有数字化应用运营数据,因此无法实现全面的可观察性。在数字化发展模式下,企业需要能够将各种数据从安全设备、业务应用、计算终端和网络系统上完整收集起来并汇总到下一代SIEM,这样才能够获得数字化环境的完整视图。

此外,下一代SIEM还需要使用经过AI模型训练的机器学习技术,摄取更广泛的非固定数据源,让安全分析工具可以及早识别新型未知攻击,而不是等待已有的安全规则被动触发。经过训练的机器学习检测模型可以有效地发现新的攻击和传统攻击的新变种。

3、支持大数据架构

传统SIEM的主要痛点之一就是难以对快速增长的数据信息进行有效采集和分析处理,不仅处理效率低下,而且还会生成大量误报。因此,下一代SIEM应建立在大数据平台上,不但能够快速处理企业数字化发展种产生的海量数据,并且可以更加经济的方式长期存储和使用数据。对于安全运营团队来说,实现统一的大数据架构,可以帮助他们快速获取所需信息,从而增强搜索与安全相关的威胁信息并进行持续的监控和分析。这种能力辅以第三方威胁情报源,就可以有效增强对高级威胁攻击的检测能力。

4、自动化检测与分析能力

传统的SIEM方案会生成大量的安全警报,这样很容易让安全运营团队产生“预警疲劳”。因此,下一代SIEM需要帮助人手不足以及工作负载过重的运营人员,通过更加细致的数据分析以及自动化检测能力,将安全预警与真正需要关注的安全事件联系起来。

此外,传统SIEM方案在创建新的检测规则时,需要大量的人工手动操作,这样低效地创建与分析模式也难以应对快速变化的安全威胁。下一代SIEM需要能够提供自动化的安全分析策略,通过威胁类型和安全场景对安全分析内容进行归类,用户可以快速地对其特定安全分析需求进行灵活部署,并且通过自动化规则创建和信息共享,应对快速变化的安全威胁形势。

5、威胁优先级分析

传统的SIEM方案通常只是将风险级别与攻击阶段进行关联,为每个攻击阶段提供基础的攻陷指标分析,这样就会造成一些后果严重的安全事件告警被淹没,安全运营人员无法确认其收到的告警是否有价值,需要在多个关联平台中,多次进行手工查询与分析。

在下一代SIEM解决方案中,应该通过添加额外的上下文数据来丰富完善告警信息,包括用户、资产、IP地址、地理位置、威胁情报、漏洞扫描结果等信息。通过丰富的上下文信息,安全分析人员可以快速了解威胁告警的严重性以及优先级,实现安全防护资源的最大化利用。

6、实时的威胁事件响应

传统的SIEM一直存在“弱检测,无响应”问题,但检测识别威胁只是开始,快速响应并应对威胁才至关重要。下一代SIEM应具备自动化的威胁事件响应能力,能够创建符合安全行业最佳实践的响应流程,与广泛的第三方产品与工具进行紧密集成,采取一系列明确操作进行响应处置,并给出应该采取的行动建议。此外,下一代SIEM需要能够确定各个响应措施的优先级,以便尽量减少业务中断,并为针对性响应提供最优化流程。

7、支持法律合规

相比传统SIEM解决方案,下一代SIEM的一个重要改进就是更好地帮助企业合规。这种能力可以通过支持企业组织开展集中式合规审计和风险报告来实现的。下一代SIEM应该为各种重要的合规要求和行业安全标准提供管理支持和报告机制,比如《健康保险可携性及责任性法案》(HIPAA)、《支付卡行业数据安全标准》(PCI DSS)、《萨班斯法案》(SOX)、NIST标准、GDPR和MITRE攻击框架等各项管理性法规或制度。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论