安全信息事件管理(SIEM)系統(tǒng)的應(yīng)用已經(jīng)超過20年，在很多企業(yè)組織，它都是安全管理人員日常處理威脅事件的優(yōu)先選項(xiàng)。但是，在過去的五年中，網(wǎng)絡(luò)攻擊變得越來越隱秘、手段越來越復(fù)雜、影響越來越大，因此，基于傳統(tǒng)特征碼的檢測(cè)技術(shù)也需要不斷向機(jī)器學(xué)習(xí)技術(shù)演進(jìn)，并從單一的威脅檢測(cè)轉(zhuǎn)變?yōu)闄z測(cè)加響應(yīng)的聯(lián)合解決方案。

在此背景下，傳統(tǒng)SIEM系統(tǒng)由于存在難以實(shí)現(xiàn)精準(zhǔn)告警、漏報(bào)較為嚴(yán)重等問題，已不是企業(yè)安全運(yùn)營(yíng)管理的理想選擇，但這并不意味著需要淘汰它。作為企業(yè)內(nèi)部安全日志的匯聚器，SIEM的基本功能或許永遠(yuǎn)不會(huì)過時(shí)，因?yàn)楸镜匕踩罩臼冀K是最具價(jià)值的威脅情報(bào)來源。但安全團(tuán)隊(duì)需要盡快升級(jí)優(yōu)化SIEM，配合更多的威脅檢測(cè)/響應(yīng)、調(diào)查/查詢、威脅情報(bào)分析以及流程自動(dòng)化/編排等先進(jìn)安全能力，以實(shí)現(xiàn)更加高效、準(zhǔn)確的發(fā)現(xiàn)、檢測(cè)和響應(yīng)安全威脅。

安全專家總結(jié)整理了目前SIEM系統(tǒng)的5大應(yīng)用挑戰(zhàn)與解決方法，以幫助企業(yè)更好地開展安全運(yùn)營(yíng)感知工作。

挑戰(zhàn)一：原始數(shù)據(jù)量多，噪音太大

解決方案：數(shù)據(jù)自動(dòng)化處理，消除“誤報(bào)”

從理論上講，更多的數(shù)據(jù)應(yīng)該可以提供更好的洞察力，但這也容易淹沒有價(jià)值的信號(hào)。問題不在于我們沒有足夠的數(shù)據(jù)，而在于我們有太多的非重要報(bào)警和誤報(bào)數(shù)據(jù)!

當(dāng)今，SIEM技術(shù)已跟不上安全團(tuán)隊(duì)收集和生成的海量數(shù)據(jù)。它不僅會(huì)錯(cuò)過大量的安全威脅，而且還會(huì)產(chǎn)生較多誤報(bào)。重要報(bào)警與非重要報(bào)警或者誤報(bào)同時(shí)大量出現(xiàn)時(shí)，會(huì)導(dǎo)致重要報(bào)警數(shù)據(jù)淹沒在海量的誤報(bào)及非重要報(bào)警中，無法立即響應(yīng)真實(shí)報(bào)警。

想象一下，當(dāng)安全分析師查看200個(gè)警報(bào)，卻發(fā)現(xiàn)只有4、5個(gè)警報(bào)是重要報(bào)警，那會(huì)有多崩潰!“檢測(cè)”和“響應(yīng)”之間，最重要的環(huán)節(jié)就是分類和處理報(bào)警數(shù)據(jù)。人工智能可以比任何分析師更快地處理數(shù)據(jù)——并且可以7X24小時(shí)全天候工作。可以將15分鐘的檢測(cè)過程縮短到幾秒鐘，并生成一份完整的事件分析報(bào)告，以便企業(yè)的團(tuán)隊(duì)可以在人工響應(yīng)時(shí)查看。

挑戰(zhàn)二：過時(shí)的、基于規(guī)則的識(shí)別技術(shù)

解決方案：智能化自動(dòng)檢測(cè)技術(shù)

SIEM落后的另一個(gè)原因是因?yàn)樗鼈兪腔谔卣鞔a規(guī)則檢測(cè)。盡管業(yè)界對(duì)它已經(jīng)進(jìn)行了改進(jìn)和升級(jí)，但還是無法跟上大數(shù)據(jù)問題。

試圖使用簡(jiǎn)單的、基于規(guī)則的技術(shù)來有效地進(jìn)行威脅檢測(cè)肯定會(huì)失敗。當(dāng)然，如果系統(tǒng)識(shí)別出它之前遇到的威脅，并且完全相同的威脅以同樣的方式“殺回”，你確實(shí)會(huì)收到警報(bào)。但是，現(xiàn)實(shí)世界的大多數(shù)威脅并非如此。許多團(tuán)隊(duì)甚至發(fā)現(xiàn)，與SIEM相比，經(jīng)驗(yàn)豐富的安全分析師或技術(shù)工程師能夠檢測(cè)到更多的未知威脅。

在過去幾年里，先進(jìn)的機(jī)器學(xué)習(xí)已經(jīng)成為一種可替代方案，但是SIEM在人工智能技術(shù)應(yīng)用上目前尚處于起步階段。

挑戰(zhàn)三：弱檢測(cè)，無響應(yīng)

解決方案：將檢測(cè)和響應(yīng)由一個(gè)平臺(tái)自動(dòng)化實(shí)現(xiàn)

SIEM一直存在“弱檢測(cè)，無響應(yīng)”的問題，它們甚至從未打算做響應(yīng)功能。但有效的警報(bào)分類需要兩者(檢測(cè)和響應(yīng))之間相互作用。企業(yè)可以通過兩種方式解決該問題：

• 通過添加另一種技術(shù)來對(duì)抗產(chǎn)生許多誤報(bào)的嘈雜系統(tǒng);
• 查詢和分析為什么檢測(cè)技術(shù)會(huì)產(chǎn)生如此多的警報(bào)和誤報(bào)。

通過智能自動(dòng)化，分析人員可以將他們的分類過程編碼到檢測(cè)引擎中，然后讓機(jī)器來執(zhí)行，將檢測(cè)和響應(yīng)視為兩個(gè)孤立部分是不正確的。我們應(yīng)該將檢測(cè)和響應(yīng)視為同一過程的兩個(gè)階段。

挑戰(zhàn)四：SIEM系統(tǒng)不會(huì)“學(xué)習(xí)”

解決方案：機(jī)器學(xué)習(xí)可以通過不斷學(xué)習(xí)變得更好

在大多數(shù)情況下，SIEM不會(huì)機(jī)器學(xué)習(xí)或很少使用機(jī)器學(xué)習(xí)算法，這不利于高效安全運(yùn)營(yíng)工作的開展。現(xiàn)在，想象一下，你可以為每一位安全分析師和工程師雇傭10名“助手”，并且這些“助手”可以不斷學(xué)習(xí)、完全可定制、自動(dòng)執(zhí)行任務(wù)，而且速度比人類快10倍、100倍甚至1000倍，并且7X24全天候運(yùn)行，這是一種怎樣的場(chǎng)景？

實(shí)踐已經(jīng)證明，企業(yè)安全運(yùn)營(yíng)中心(SOC)可以在機(jī)器學(xué)習(xí)技術(shù)的幫助下，更有效地檢測(cè)、分析和響應(yīng)海量數(shù)據(jù)，更關(guān)鍵的是，速度要比任何人都快約1000倍。這就意味著安全團(tuán)隊(duì)可以騰出時(shí)間專注于只有他們能勝任的高級(jí)工作，例如一些難以或不可能自動(dòng)化處理的任務(wù)，或者需要對(duì)行業(yè)和企業(yè)具有深刻且人性化理解的事情。

挑戰(zhàn)五：SIEM系統(tǒng)應(yīng)用成本太高

解決方案：經(jīng)濟(jì)實(shí)惠、靈活的自動(dòng)化選項(xiàng)

有調(diào)查顯示，有32%的安全專家表示SIEM運(yùn)營(yíng)需要大量的人員培訓(xùn)和經(jīng)驗(yàn)，而21%的人認(rèn)為SIEM需要不斷調(diào)優(yōu)并消耗大量運(yùn)營(yíng)資源才能發(fā)揮作用。這就是為什么許多企業(yè)的安全團(tuán)隊(duì)必須做出艱難的決定，決定他們可以將多少(以及哪些類型的)數(shù)據(jù)提取到SIEM中進(jìn)行分析。其余的數(shù)據(jù)只能存儲(chǔ)在沒有處理能力的系統(tǒng)中，無法處理、分析和提取有關(guān)威脅的寶貴見解，即便是明顯的攻擊跡象(類似Log4j事件)有時(shí)也會(huì)被忽略。這會(huì)帶來巨大的安全風(fēng)險(xiǎn)。

鑒于SIEM的應(yīng)用成本差異，企業(yè)組織可以根據(jù)自身的需求，選用更好、更具成本效益的技術(shù)解決方案。智能自動(dòng)化可以實(shí)現(xiàn)高度檢測(cè)和響應(yīng)，價(jià)格合理、透明，可以針對(duì)每個(gè)組織的業(yè)務(wù)需求進(jìn)行定制。這對(duì)于很多中小企業(yè)、初創(chuàng)公司和非營(yíng)利組織來說，會(huì)更加適合一些。

原文鏈接：

• https://www.logichub.com/blog/goodbye-lonely-siem-hello-mdr
• https://www.logichub.com/hubfs/2022%20ebook_%20Five%20Easy%20Steps%20to%20Replace%20Your%20SIEM.pdf