下一代SIEM應該具備的八項關鍵能力 - 網安 - 專業的網絡安全產業、社區、知識平臺

隨著信息技術的發展，傳統網絡邊界逐漸消失，企業數據量變得越來越龐大，傳統安全檢測及邊界防護無法應對當前挑戰。

傳統SIEM無法處理不斷增長的數據量以及復雜的安全場景，導致其無法實時檢測并獵捕高級威脅。

下一代SIEM應該具備本文中以下陳述的八種能力，用以支持海量數據進行實時分析，以檢測并應對高級安全威脅場景。

端點、應用程序、網絡設備、VPN、服務器和云應用程序的這些數據，不但數量非常龐大，而且都與安全以及威脅場景相關，基于傳統數據庫架構的SIEM無法滿足海量數據處理以及擴展性要求。

下一代SIEM應建立在大數據平臺上，不但能夠處理企業產生TB以上的海量數據，通過使用開放數據模型存儲數據來提供數據可移植性，并且通過通用平臺部署以經濟的方式進行數據的長期存儲。

基于特征以及專家經驗的檢測規則只擅長發現已知威脅，通過規則方式發現未知威脅會產生大量的噪聲，很難發現高價值的異常風險。這導致在網絡威脅快速擴散的今天，傳統SIEM顯得不堪重負。

下一代通過機器學習有監督、無監督、統計算法等技術，對海量數據中的用戶行為進行學習，并在此基礎上建立用戶行為基線，通過對比行為基線檢測異常行為。

沒有豐富上下文的告警可能會被淹沒在SIEM海量告警數據中，同時可能造成為了確認告警是否有價值，安全分析人員需要在多個頁面以及數據庫中，多次進行手工查詢與分析。

下一代SIEM通過添加額外的上下文數據來進行告警信息豐富化，其中包括用戶、資產、IP地址、地理位置、威脅情報、漏洞掃描結果等信息。通過豐富的上下文信息，安全分析人員可以快速了解告警嚴重性以及優先級。

傳統SIEM創建新的關聯規則周期長、成本高，隨著當前網絡攻擊形勢不斷演變，即使非常專業的安全分析人員來管理與配置傳統SIEM，這樣低效地完善或新建安全分析規則，也難以應對快速變化的安全威脅。

下一代SIEM能夠提供打包好的開箱即用的安全分析規則，通過威脅類型和安全場景對安全分析內容進行分類，用戶可以快速地對其特定安全分析需求進行定制化部署。并且通過動態安全場景創建和信息共享，以領先于快速變化的安全威脅形勢。

傳統SIEM一般按照吞吐量（EPS）或存儲容量（GB）定價，用戶不得不考慮哪些數據源重要或者不重要，使安全分析人員被迫擔心數據成本上升，而不是專注于安全分析效果，這會導致對安全檢測能力帶來損失。

下一代SIEM可以很好地處理海量數據，因此其定價模式可以不受數據處理速度和數據存儲量的限制。下一代SIEM可以提供更符合客戶業務需求的定價模式，比如通過用戶數量定價可以準確反映安全風險和威脅的復雜性，使得成本的不可預測性得以消除，也不需要擔心有價值數據無法收集的風險。

檢測識別威脅只是開始，快速響應以應對威脅才至關重要。傳統SIEM缺乏事件響應能力，這意味著需要與第三方技術進行繼承來進行事件響應。并且如果這個過程過度依賴于手工操作，這會使得威脅快速響應能力降低。

下一代SIEM應具備自動事件響應能力，能夠創建符合安全行業最佳實踐的劇本，與廣泛的第三方產品與工具進行緊密集成，采取一系列明確操作進行自動化響應，并給出應該采取的行動建議。

傳統SIEM通常部署在本地數據中心設備上，本地化部署沒有考慮過云計算環境。隨著企業云計算應用的快速發展，傳統SIEM本地化部署方案難以保護云端應用，也無法解決安全團隊面臨的云端基礎設施監控的挑戰。

如今企業正通過云計算戰略實現增加效益、降低成本、保持靈活性和敏捷性，下一代SIEM則需要與企業總體IT戰略相匹配，需要具有虛擬化和基于云環境的部署能力，或者將SIEM作為一項SaaS服務進行交付。

為了更好地檢測和應對威脅，安全協作、自動化和響應（SOAR）、網絡流量分析（NTA）以及用戶和實體行為分析（UEBA）這些曾經是獨立產品的功能，將成為逐漸成為下一代SIEM中的標準集成組件。

UEBA能夠深入深度分析社會工程、信息泄露等威脅與異常；NTA能夠監控網絡流量、連接狀態和對象，以檢測網絡中的威脅。SOAR有助于快速響應與修復。UEBA、NTA、SOAR逐步融入其平臺功能，也是下一代SIEM的特征之一。

本文主要的內容與思想來自Securonix報告，在公眾號后臺回復“1207”下載報告文件：

Eight_Capabilities_of_a_Next_Generation_SIEM_Securonix.pdf