SIEM（安全信息事件管理）系統(tǒng)的應用已經(jīng)超過20年。在此期間，SIEM由最初的邊界安全事件關(guān)聯(lián)工具逐漸發(fā)展成為企業(yè)網(wǎng)絡安全治理、風險管理以及合規(guī)建設(shè)的重要支撐平臺。今天，在很多企業(yè)中，SIEM已經(jīng)成為安全團隊日常處理威脅事件的優(yōu)先選項，不僅可以從IT基礎(chǔ)架構(gòu)中的海量信息資源中收集和分析各種攻擊活動，同時也是實現(xiàn)安全自動化、DevSecOps、態(tài)勢感知等安全管理和運營技術(shù)的基礎(chǔ)。

　　昨天：從日志聚合到安全運營

　　第一代的SIEM產(chǎn)品誕生于本世紀初，起初是被作為一種日志聚合的工具，只是在一些大型頭部企業(yè)使用，用以解決數(shù)據(jù)孤島的問題，同時還可用于歷史數(shù)據(jù)保留和法律合規(guī)遵從。最早期的SIEM代表性廠商包括ArcSigh（現(xiàn)隸屬Micro Focus）和QRadar（現(xiàn)隸屬IBM）等公司。

　　在第一代SIEM產(chǎn)品中，使用了非?；A(chǔ)的關(guān)聯(lián)引擎，建立非常簡單的關(guān)聯(lián)規(guī)則，例如“如果看到X、Y和Z，就應該在工單系統(tǒng)中打開工單，并向安全團隊發(fā)送警報”。由于第一代SIEM產(chǎn)品針對非結(jié)構(gòu)化數(shù)據(jù)的本地處理能力非常薄弱，可能需要花很長的時間來查詢數(shù)據(jù)，并只能獲得事件原因的初步分析。鑒于技術(shù)原因，這個時期的SIEM可用性非常糟糕，甚至給一些客戶留下了花錢買罪受的感受。

　　隨著時間的推移，企業(yè)的數(shù)字化轉(zhuǎn)型快速發(fā)展，各種安全設(shè)備的運營數(shù)據(jù)開始激增，最早期的SIEM產(chǎn)品逐漸跟不上數(shù)據(jù)產(chǎn)生的步伐，因為其所使用的結(jié)構(gòu)化數(shù)據(jù)庫無法與時俱進，而編寫新的解析器需要很長的開發(fā)周期。

　　當Splunk公司進入SIEM市場后，迅速改變了第一代SIEM廠商的游戲規(guī)則。該公司研發(fā)了一種靈活而強大的數(shù)據(jù)存儲和搜索引擎，通過索引技術(shù)，可以搜索各種類型的原始數(shù)據(jù)（結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)），并迅速將數(shù)據(jù)轉(zhuǎn)換成可搜索的事件。這種技術(shù)是一項突破，因為它使SIEM工具更容易獲取、搜索、存儲和顯示所有不斷增加的數(shù)據(jù)，并獲得洞察分析能力。在2012年，Splunk首次作為領(lǐng)導者出現(xiàn)在Gartner 發(fā)布的SIEM魔力象限中，并在此后的很多年占據(jù)著市場領(lǐng)導者位置。

　　根據(jù)研究機構(gòu)SANS在2019年研究報告數(shù)據(jù)顯示，截至2018年底，有超過70％的大型企業(yè)開始依賴SIEM系統(tǒng)來進行數(shù)據(jù)關(guān)聯(lián)、安全分析和運營。同時，很多企業(yè)的安全運營中心團隊圍繞SIEM配備了用于威脅檢測/響應、調(diào)查/查詢、威脅情報分析以及流程自動化/編排的其他工具。SIEM正式發(fā)展成為企業(yè)安全運營的發(fā)動機。

　　今天：應用成本不斷增加

　　當以零日攻擊為代表的高級威脅大量出現(xiàn)后，SIEM行業(yè)的競爭格局再一次開始改變。傳統(tǒng)SIEM系統(tǒng)由于存在難以實現(xiàn)精準告警、漏報較為嚴重等問題，已不是企業(yè)安全運營管理的理想選擇。作為企業(yè)內(nèi)部安全日志的匯聚器，SIEM的基本功能或許永遠不會過時，因為本地安全日志始終是最具價值的威脅情報來源。但安全團隊需要盡快升級優(yōu)化SIEM，配合更多的威脅檢測/響應、調(diào)查/查詢、威脅情報分析以及流程自動化/編排等先進安全能力，以實現(xiàn)更加高效、準確的安全威脅檢測。

　　為了跟上威脅發(fā)展的步伐，現(xiàn)代的SIEM產(chǎn)品需要更深入地了解所存儲的數(shù)據(jù)，并運用更多的網(wǎng)絡智能技術(shù)來應對挑戰(zhàn)，用戶和實體行為分析（UEBA）和機器學習技術(shù)應運而生。各大安全廠商都積極嘗試將新一代SIEM產(chǎn)品與 UEBA、安全編排、自動化和響應 （ SOAR ） 和擴展檢測和響應 （ XDR ） 結(jié)合起來，以實現(xiàn)更加智能化的威脅檢測和響應能力。

　　在Gartner最新發(fā)布的2022安全運營技術(shù)成熟度曲線中，對主流的安全運營技術(shù)進行了分析。報告認為，SIEM技術(shù)已步入穩(wěn)步發(fā)展并趨進成熟的階段，這個分析也正符合市場的現(xiàn)狀，很多企業(yè)在安全運營中已把SIEM作為主要實現(xiàn)平臺。

　　從理論上講，更多的數(shù)據(jù)可以提供更好的洞察力，但這也容易錯過一些嚴重的安全威脅，而且還會產(chǎn)生較多誤報。一旦重要報警與大量誤報信息同時出現(xiàn)時，就會導致重要報警數(shù)據(jù)淹沒在海量的誤報及非重要報警中，無法立即響應真實報警。

　　由于總體安全運營數(shù)據(jù)爆炸式增長，導致SIEM應用成本快速增長，每年在SIEM方案升級上的投入讓企業(yè)難以承受。為了控制應用成本，許多企業(yè)的安全團隊必須做出艱難的決定，決定他們實際將多少（以及哪些類型的）數(shù)據(jù)提取到SIEM中進行分析，其余的數(shù)據(jù)只能存儲在沒有處理能力的系統(tǒng)中，無法及時得到處理和分析，這會帶來巨大的安全風險。

　　鑒于SIEM技術(shù)目前的應用成本挑戰(zhàn)，企業(yè)組織需要根據(jù)自身的需求，選用更好、更具成本效益的技術(shù)解決方案。服務化的SIEM方案可以實現(xiàn)高度智能化的分析和檢測，同時價格也更加合理、透明，這對于很多中小企業(yè)、初創(chuàng)公司和非營利組織來說，是一種比較合適的選擇。

　　明天：SIEM的未來在云端

　　根據(jù)Gartner的研究數(shù)據(jù)，全球SIEM產(chǎn)品市場已從從2020年的34.1億美元增長到了2021年的41億美元，取得了20%的增長率。SIEM市場發(fā)展的主要驅(qū)動因素仍然是檢測、響應、攻擊面管理以及合規(guī)。未來，企業(yè)希望未來的SIEM產(chǎn)品能夠在寬度和深度兩個方面同時滿足其數(shù)字化業(yè)務發(fā)展和安全防護的需要。

　　新一代SIEM產(chǎn)品繼續(xù)不斷吸納新的功能，包括SOAR、UEBA、TIP、自服務安全分析、持續(xù)威脅內(nèi)容創(chuàng)建、Incident管理等，這需求SIEM產(chǎn)品進一步轉(zhuǎn)變架構(gòu)策略以適應客戶需求，而最終指向就是云化Cloud SIEM（包括云原生化和云托管）。云技術(shù)不僅可以讓SIEM整合更多威脅檢測引擎，實現(xiàn)更快的運營數(shù)據(jù)分析，還可以有效降低企業(yè)的應用成本。

　　Gartner分析師認為，Cloud SIEM將會成為未來SIEM產(chǎn)品發(fā)展的首要形態(tài)，這也意味著SIEM的架構(gòu)發(fā)生了重大變化。云化的好處不僅是順應云時代和遠程辦公時代的需要，更重要的是為了降低SIEM自身的部署和維護的負擔，將重點投入到基于SIEM的安全運行上。Cloud SIEM對中小型企業(yè)來說是非常理想的選擇。

　　此外，對于不想在SIEM上投入太多資源的企業(yè)來說，由托管安全服務提供商（MSSP）來運營SIEM也是一個很好的選擇。但是首先需要清楚的了解角色和責任?？偟膩碚f，未來的云SIEM提供商更多的職責是初期建設(shè)部署和優(yōu)化完善SIEM產(chǎn)品的功能更新；MSSP的職責主要是中后期的威脅場景分析應用及事件跟蹤處置，而企業(yè)用戶只需要提出應用需求和確認決策。

更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<