重新定義：SIEM三個趨勢與現代SOC四個要點

2023年6月5日至7日，Gartner安全與風險管理峰會在美國召開。作為Gartner最重要的網絡安全盛會，本次會議有Gartner的71位分析師登上講臺、240家企業參展。Gartner SIEM和SOC領域的關鍵分析師悉數亮相，分享了他們對于未來SIEM和SOC發展的見解。

SIEM的生與死

SIEM能否滿足當前快速變化的安全需求？SIEM是否已經不堪重負？面對新興的技術和產品，SIEM是否會走向消亡？

在二十多年的發展進程中，SIEM產品曾多次遇到過類似的疑惑，但從來沒有哪次像這兩年一樣面臨如此巨大的挑戰。在題為《安全運營展望2023》的演講中，Gartner分析師Eric Ahlm將新技術和產品（尤其是XDR）對SIEM的挑戰比作天地大碰撞。

SIEM會毀滅嗎？還是在被撞擊后重獲新生？Eric Ahlm表示，“好消息是這不是一次SIEM滅絕事件，但是時候重新掂量SIEM在SOC中的價值了”。

Gartner VP分析師Pete Shoard在題為《SIEM的未來和TDIR的演進》的演講中，展示了多個SIEM “被死亡”的節點。他堅定地認為，SIEM還會好好活著！

Gartner研究人員認為，SIEM作為一個細分市場、一個術語不會消亡，但SIEM的內涵和外延卻已不再似以前，而這也恰恰體現了SIEM自身特有的與時俱進能力。

重新定義和定位SIEM

在大會上，Pete Shoard給出了SIEM的最新定義：SIEM平臺提供了一個可配置的安全記錄系統，幫助組織識別和報告需要調查的感興趣事件。它也協助組織對可能導致損害的已發現事項進行驗證與響應。

Pete Shoard表示會更新到今年的SIEM魔力象限報告中。作為對比， 2022年魔力象限報告中SIEM定義如下：SIEM將跨應用、網絡、端點和云環境的各類監測、評估、檢測及響應系統的事件數據聚合起來，以實現基于關聯規則和UEBA的威脅檢測，基于SOAR的響應集成，基于TIP的威脅內容持續更新和安全報表報告。

可以發現，之前的SIEM定義中對功能的描述較為具體，而新的定義則抓住調查、驗證、響應三個關鍵能力進行簡潔的概括，內涵較之前更為豐富。

進一步分析，多年以來SIEM定義的核心都是數據的采集與分析，即以數據為中心。從技術架構上來，數據驅動安全沒毛病。但正如Gartner所說，當前的實際情況表明，在經歷多年的大數據時代后，更多的數據并不意味著更多的安全價值，數據的邊際效益正在遞減。同時，市場上出現了越來越多的具備檢測和響應能力的產品種類。也就是說，檢測與響應能力越來越分散到不同的安全系統之中。因此，對用戶而言，數據分散問題雖依然存在，但重要性正在下降，而安全系統（尤其是安全檢測與響應系統）的分散問題越發凸顯。這就需要SIEM平臺在保持大數據分析架構的前提下大幅增加對異構安全系統的集成能力（Gartner稱之為相容性——Compatibility），而這也正是安全網格架構（Cybersecurity Mesh Architecture）產生的原因。總之，當前SIEM的外延已經從數據集成擴展到了系統集成。

既然SIEM被重定義了，那么是否可以將新定義的SIEM命名為下一代SIEM（NG-SIEM）或者SIEMX.0呢？對此，Gartner的態度也是明確的。Pete Shoard表示，那些不能從歷史中吸取教訓的人才會去不斷發明所謂的下一代SIEM。SIEM就是SIEM，它不會被取代，也不會變成NG-SIEM。SIEM定義的演進是SIEM內在的特征，SIEM從一開始就被定義為具有極強的擴展性，能夠隨安全格局的演變而演進。SIEM未來的定義還會繼續變化。

在筆者看來，這種不斷演進的SIEM定義正是SIEM的優勢所在，因為SIEM代表了一種自頂向下的體系化安全運營建設需求。

為什么SIEM能在與XDR等一眾聚焦檢測與響應領域的產品細分市場的競爭中存活下來呢？這里撇去SIEM領域日漸式微的合規性功能【筆者注：事實上這類功能越來越向GRC合規管理中心轉移】不談，Gartner認為最關鍵之處還在于SIEM自身的開放性。從用戶側而言，發展到一定階段必然需要一個統合全局網絡安全監測與響應的，緊密結合用戶自身業務實際的安全平臺，而這個安全平臺必然需要高度的開放性，包括可配置性和可定制性，而這正是SIEM所追求的。從這個意義上而言， XDR及其它專項DR類產品都是可以與SIEM協作的。

可以說，開放性體現了SIEM區隔于其它產品的獨特性，也體現了SIEM的核心定位，即服務于有定制需求的客戶。SIEM產品肯定不止服務于有定制需求的客戶，根據Gartner 2022年的《SIEM關鍵能力》報告，SIEM用例還包括開箱即用SIEM和作為TDIR平臺使用。對于SIEM而言，真正受到擠壓的是開箱即用SIEM用例所涵蓋的市場。

凡事皆有兩面性。SIEM開放性的另一面正是其高度復雜性，以及由此帶來的對SIEM落地實戰能力的長期詬病。本質上，SIEM作為應對客戶復雜安全需求（將不斷變化的異構數據和系統集成起來實現全局的監測與響應）的一個產物，必定也是復雜的。但是從產品和解決方案的角度，我們可以將SIEM的復雜性進行轉移，盡可能地從用戶側轉移到廠商側。注意，這里說的是轉移，不是消除！這種轉移可以表現為SIEM產品中內置豐富的安全內容（包括策略、規則、報表模板、算法模型等），可以表現為SIEM產品提供更流暢的交互式設計和分析師體驗，可以表現為提供豐富的產品附加服務（Gartner稱之為VDSW——供應商交付的產品打包服務），也可以表現為托管安全服務。這些都是降低用戶落地SIEM復雜度的良好實踐，本質上是由廠商更多地承擔起SIEM的落地復雜性，通過廠商豐富的安全經驗將這些復雜性工作打包成可傳遞的知識（包括易用的UI、豐富的安全內容、有經驗的服務人員等），提供給客戶。

SIEM的三個發展趨勢

Pete Shoard在大會上向大家介紹了三個SIEM未來發展的趨勢：

1）存儲從聯邦式向分布式轉變；2）伴隨著社區的繁榮，安全內容市場逐步壯大

3）出現新的、基于事態（Event-Based）的用例（使用場景）。

對于第一點，Gartner認為SIEM將從現在流行的聯邦式大數據分析架構向更加完全的功能去中心化分布式架構方向發展。數據在哪里已不重要，功能的網格化才是重點，API是關鍵。

對于第二點，本質上就是知識分享從過去的廠商與用戶之間的單向傳遞，變成廠商、用戶、第三方之間的雙向分享。這是一種知識變現，會帶來新的業務模式和商業機會。

SOC建設的四個要點

安全運營需求、理念和技術的變化不僅帶來了SIEM的變化，也促動了SOC的演進。隨著云技術和遠程辦公的普及，Gartner將SOC看作是一組安全運營能力的集合，而不再是一個地點。很多人坐在墻上掛著超大屏幕的屋子里，盯著大大小小屏幕工作的場景正在成為過去。

在《你的SOC是不是現代SOC》的演講中，Gartner分析師Eric Ahlm提出了建設現代化SOC的四個要點：采用混合運行模式、優化檢測技術棧、聚焦日常自動化和施行基于度量的迭代演進。

1）采用混合運行模式

隨著網絡安全的挑戰日益嚴峻，用戶方在資源和能力方面面臨的瓶頸越發明顯，完全依靠自身的力量已經難以將SOC運行起來。Gartner展望2023，認為以后所有的SOC都將是混合型SOC，即或多或少都要依靠外部力量，借助各種安全服務，彌補自身在SOC規劃、建設和運行時的人員崗位缺口和能力缺失。此外，對于那些堅持采用單純依靠自身運行的SOC的用戶，Gartner建議其運營團隊人員應不少于12人，否則無法真正將SOC運行起來。

2）優化檢測技術棧

如前所述，用戶要重新審視SIEM在SOC中的價值，SIEM不能在SOC技術平臺中包打天下。Gartner建議用戶在構建SOC技術平臺的時候，將SIEM技術棧進行拆解，用其它技術替換掉SIEM中過時或低效的部分，同時引進一些新的功能（尤指XDR和暴露面管理），并更好地與其它技術協同起來。而分析師Neil MacDonald在《新興安全市場趨勢和增長機會》主題報告中就直接建議廠商引入多遙測數據融合分析技術，淘汰或升級舊有的SIEM，加入主動安全監測，還建議安全托管服務商增加暴露面管理和事件響應服務。

3）聚焦日常自動化

Eric Ahlm表示，高大上的端到端的運營級流程自動化還太過遙遠，當前用戶更需要的是（較小粒度的）日常運行活動自動化。因為安全流程（Process）天生就是易變和動態的，存在很多分支情況，要完整進行描述十分困難，會耗費大量設計開發精力，而跨部門的流程更難。在當前管理和技術條件下，要實現全面流程級別的自動化代價太高。相反，對構成安全運行流程的安全活動（Activity）進行自動化則更切和實際且更高效。在流程層面，更適合通過人工和半自動化的方式將相關的活動串起來。對此，筆者完全贊同，筆者參與設計的SOAR系統正是秉持這個理念。

在實現流程和活動自動化方面，SOAR并非唯一選擇，而是存在三種技術路線：從具備最高靈活度的SOAR平臺，到SIEM和ITSM中嵌入的簡化版自動化工具，再到XDR或其它DR類產品中預置的自動化功能。

對于用戶而言，選擇哪種技術路線的產品和系統取決于自身的實際需求和未來發展規劃。

4）施行基于度量的迭代演進

Gartner反復強調，SOC建設是一個持續迭代的旅程，至少要在計劃、排序、構建、運行、匯報、成熟6個階段迭代三次。這個迭代旅程，是SOC能力不斷增強，成熟度不斷提升的過程。這個過程必須在量化的安全指標牽引下演進。

SOC的度量指標設計要跟當前的成熟度相適應。如上圖所示，在進入“主動監測”階段后就應該引入正式的指標體系去度量SOC有效性和價值。

此外，面向不同層級和職責的上級，匯報的指標應該具有針對性，切忌出現“雞同鴨講”。分析師Alex Michaels在《現代化高績效SOC的演進和期待》主題報告中就列舉了一個悲催的示例，如下圖所示。

Gartner表示，對于單位高管級領導，要用他們聽得懂的業務指標（而不是運營指標）和業務術語去匯報，對于CIO和更高級領導，要采用結果驅動的指標（Outcome-Driven Metric）設計方法論輸出業務價值導向的指標。

結語

安全威脅形勢越來越嚴峻，安全防御越來越強調實戰化，強調結果導向，安全運營越來越重要。圍繞網絡威脅防御這個核心，SIEM的內涵和外延正在不斷演進，而SOC的方法論也日漸成熟。包括SIEM和SOC在內的安全運營天然是一個復雜性問題，做好安全運營沒有捷徑，唯有持續迭代提升。這就好比唐僧師徒西天取經，孫悟空、筋斗云、金箍棒是取經路上拼殺的利器，但卻無法讓他們直接抵達西天。如果我們把XDR、ChatGPT、AI看作是安全運營的新利器，也依舊不能確保安全運營成功。