信息來(lái)源:51CTO
一定規(guī)模的安全公司幾乎都會(huì)有套昂貴的SIEM系統(tǒng)�����。出于各種原因�,SIEM曾經(jīng)一度處于安全運(yùn)營(yíng)和事件響應(yīng)的中心位置�。但隨著時(shí)間流逝,安全運(yùn)營(yíng)工作流越來(lái)越復(fù)雜�,公司企業(yè)能從SIEM中獲得的價(jià)值已大不如前。但這并不是說(shuō)公司企業(yè)應(yīng)馬上完全摒棄SIEM�。
事實(shí)上,正好相反�,公司企業(yè)應(yīng)敦促SIEM提供商滿足2018的安全運(yùn)營(yíng)需求,而不是二十年前的��。而一旦這些遺留系統(tǒng)真的達(dá)不到當(dāng)今的要求�,可能也就到了該換個(gè)選項(xiàng)的時(shí)候了。
基于此�����,特給出和傳統(tǒng)SIEM說(shuō)再見(jiàn)的10個(gè)理由:
1. 攻擊不是線性的
大多數(shù)SIEM按行呈現(xiàn)其攝入的數(shù)據(jù)�����。換句話說(shuō),線性輸入線性出��。然而不幸的是��,攻擊者和攻擊本身卻并不總是線性的�。瞪著一張事件列表并不能幫你找出可疑或惡意行為。
2. 關(guān)注數(shù)據(jù)價(jià)值而非其數(shù)量
人們總想把所有能接入的數(shù)據(jù)源上的數(shù)據(jù)都收集起來(lái)�����。但你有沒(méi)有想過(guò)這些源對(duì)安全運(yùn)營(yíng)有沒(méi)有價(jià)值呢?如果沒(méi)有�,還有必要收集了存起來(lái)嗎?收集來(lái)的每份數(shù)據(jù)都會(huì)縮短現(xiàn)有存儲(chǔ)空間的壽命,降低調(diào)查分析的效率�����。數(shù)據(jù)收集應(yīng)更聰明些�����,而不是更努力些�。
3. 太多工具
大多數(shù)安全公司持有的安全工具數(shù)量都十分驚人。有這么多工具可用的同時(shí),需要每種工具滿足多種不同操作需求的時(shí)代也來(lái)臨了��。隨著安全運(yùn)營(yíng)行業(yè)的成熟�����,對(duì)SIEM的要求已超出了大部分傳統(tǒng)供應(yīng)商的能力范圍�。
4. 內(nèi)部流量
包括SIEM在內(nèi)的很多安全解決方案,都重度依賴邊界流量來(lái)提供可見(jiàn)性�����。但很不幸�,邊界內(nèi)部也是有很多很重要的東西的�。橫向移動(dòng)、內(nèi)部應(yīng)用誤用和憑證竊取之類的事通常都發(fā)生在公司內(nèi)部��。然而�����,公司內(nèi)部恰恰是很多公司企業(yè)都難以獲得足夠可見(jiàn)性的地方����。視而不見(jiàn)或不聞不問(wèn)要不得。
5. 數(shù)據(jù)切分
大多數(shù)安全分析員通常都有才�、聰明�����、有創(chuàng)造性����。他們需要能夠構(gòu)建復(fù)雜查詢的工具來(lái)切分?jǐn)?shù)據(jù)�,以便能夠調(diào)查可疑行為,并發(fā)現(xiàn)其他需要注意的活動(dòng)�����。另外����,速度和效率也很關(guān)鍵。不應(yīng)該耗費(fèi)數(shù)小時(shí)才可以知道給定類型的行為是否曾經(jīng)出現(xiàn)過(guò)��。
6. 關(guān)聯(lián)
安全團(tuán)隊(duì)需要工具將相關(guān)事件關(guān)聯(lián)起來(lái)�。至少安全工具應(yīng)該是輔助而不是阻礙分析師做這些關(guān)聯(lián)。除此之外�����,現(xiàn)代工具還應(yīng)能在分析師著手之前就自動(dòng)關(guān)聯(lián)某些相關(guān)數(shù)據(jù)。
7. 上下文
描述清楚事件可以讓安全團(tuán)隊(duì)做出及時(shí)準(zhǔn)確的決策��。這涉及到從不同數(shù)據(jù)源收集各種支持性證據(jù)揉合成重要的上下文����,而不是直接拋出缺乏上下文的事件。不支持這種程度的調(diào)查自由度����,或者沒(méi)辦法自動(dòng)化其中一部分工作的工具,在2018年是沒(méi)有市場(chǎng)的�����。
8. 更智能的內(nèi)容構(gòu)建
無(wú)論公司企業(yè)的檢測(cè)技術(shù)多么緊跟潮流常換常新�,總有改進(jìn)的空間�。如果你已經(jīng)有了精英安全團(tuán)隊(duì),他們很可能會(huì)對(duì)傳統(tǒng)SIEM系統(tǒng)那有限的分析和查詢能力感到絕望����。他們腦中有關(guān)新檢測(cè)技術(shù)的構(gòu)想,需要現(xiàn)代工具幫助他們挖掘出來(lái)并加以實(shí)現(xiàn)�。
9. 更平滑的調(diào)查
只要用過(guò)傳統(tǒng)SIEM調(diào)查事件,就會(huì)很快發(fā)現(xiàn)這調(diào)查過(guò)程磕磕絆絆一點(diǎn)都不平滑����。今天的調(diào)查要求工具擁有足夠的靈活性和功能性����,要能對(duì)各式各樣的大量數(shù)據(jù)做深入查詢�����。
10. 新方法
人工發(fā)展警報(bào)邏輯是非常重要的活動(dòng)�����,但也有可能是效率極低的做法�����。自動(dòng)化分析方法已經(jīng)成熟到了可以產(chǎn)出價(jià)值附加警報(bào)的程度�,為安全運(yùn)營(yíng)工作流帶來(lái)效率。當(dāng)然也有工具并不具備足夠的分析嚴(yán)謹(jǐn)性����,會(huì)產(chǎn)生大量誤報(bào)和噪音。不過(guò)�,有一部分精選工具可以產(chǎn)生人類可能沒(méi)識(shí)別出的高保真可靠警報(bào)。雖然步伐緩慢�����,但這一功能必然會(huì)成為現(xiàn)代安全團(tuán)隊(duì)必備品。
