来源:https://www.esecurityplanet.com/network-security/security-information-event-management-siem.html
安全信息和事件管理(SIEM)是一种技术,可以将所有的系统连接在一起,并使您对它的安全性有一个全面的认识。
IT安全通常是各种技术的拼凑——防火墙、入侵预防、端点保护、威胁情报等——共同保护组织的网络和数据免受黑客和其他威胁的影响。然而,将所有这些不同的系统捆绑在一起是另一个挑战,而这正是SIEM能够提供帮助的地方。
SIEM系统控制了各种设备的安全日志,并进行了一系列的功能,包括发现威胁,防止出现漏洞,检测漏洞,以及提供取证信息来确定安全事故是如何发生的以及其可能的影响。
一、什么是SIEM
一个安全信息和事件管理,或者SIEM解决方案(读作“SIM”),从广泛的网络硬件和软件系统中获取日志数据,并实时分析这些数据。它的目的是将事件和个别异常或行为模式关联起来,这些异常或行为模式可能表明安全漏洞——使用情报源,以确保在出现新的威胁时能够意识到新的威胁——并将日志数据以可管理的、易于理解的形式显示出来,以便安全人员能够有效地进行解释。
SIEM工具还用于从安全性和其他系统收集日志信息,以生成用于遵从性目的的报告。安全信息和事件管理有时也称为安全事件和信息管理。
两个相关的活动是SEM(安全事件管理)和SIM(安全信息管理)。这些都是SIEM的子集。一般来说,SEM关注于日志的实时监控和事件的相关性,而SIM则涉及数据保留和后期的日志数据和安全记录的分析和报告。这通常是作为取证分析的一部分进行的,以确定安全漏洞是如何发生的,哪些系统和数据可能被破坏,以及需要做出哪些改变来防止类似的破坏。大多数现代的SIEMs可以用来执行SEM和SIM。
二、SIEM和中级市场
在过去,SIEM的产品一般只局限于大型企业,但现在它们也可以进入中等规模的组织,高德纳(Gartner)的前研究主管Oliver Rochford说,他现在是网络安全供应商RiskSense的安全专员。
SIEM产品主要由大型企业使用的一个原因是,你需要一到两个人来监督他们,而只有大公司才会有这样的人力资源。但Rochford建议,中型企业可以在办公时间使用托管服务或监管SIEM系统,并依靠托管服务提供“超时”覆盖。
SIEMs的吸引力已经扩大的另一个原因是,过去采用的主要驱动因素是合规,这一问题更有可能影响到更大的公司。虽然合规仍然是一个重要因素,但Rochford说,威胁管理现在是一个更大的驱动力。
“看看ransomware;这是一个威胁,中型企业对检测非常感兴趣,”他说。Ransomware通常非常紧凑,然后连接到C&C(指挥和控制)中心。因此,你可以发现一个钓鱼邮件,它可以传递信息,或者它的通信,或者像新流程一样的威胁指标。SIEM将允许您集中和审查这些信息,并可能检测到ransomware。
三、SIEM工具:寻找的关键特性。
SIEM是一个非常宽泛的术语,来自不同厂商的SIEM工具有不同的特性集、优缺点。但一般来说,大多数SIEM工具都有以下特点:
对日志的摄取和解释;
连接到更新的威胁情报源;
对比和分析;
先进的分析;
安全警报;
数据显示;
合规。
3.1从网络硬件和软件中摄取和解释日志。
SIEM工具的一个关键区别是,它们可以连接到盒子之外的日志源的数量和种类,以便进行数据聚合。虽然通常可以将连接器构建到单独的设备或应用程序,但这可能代价高昂且耗费时间,因此对于多个日志源来说,这是不切实际的。某些供应商,如Splunk,在大量应用程序中值得注意,他们可以从这些应用中获取数据。
“支持尽可能多的日志源是非常重要的。那是因为你自己的连接器不能很好地伸缩,”Rochford说。
如果您有自己的定制应用程序,您将不得不为它们自己创建连接器。但是,确保您的商业应用程序得到支持,可能是SIEM项目成功和失败的不同之处。如果您使用各种各样的应用程序,您可能需要查看像Splunk这样的供应商。
3.2能够连接定期更新的威胁情报信息
许多公司只使用他们所购买的SIEM产品或服务的feed。然而,第三方和开源威胁情报源的商业信息也可用。商业和开源威胁情报源是有价值的,因为研究表明它们的内容不重叠到很高的程度。SIEM对安全威胁的信息越多,就越有可能发现它们。
尽管如此,为了简单或出于经济原因,一些人可能选择只使用包含在他们的SIEM中的那些feed。基于这个原因,重要的是要确定包含哪些feed,以及哪些其他商业和开放源feed与SIEM产品兼容。OpenIOC是一种框架或标准,可以确保SIEM与许多feed源兼容。
3.3对比和分析
这是SIEM技术的面包和黄油,它包括将不同的事件联系在一起,以找出一个威胁。一个示例:端口扫描,然后是用户访问某些类型的数据或用户实体行为,这些行为可以表示内部威胁。重要的是,分析功能以一种可以有效使用的方式呈现出来;在任何购买决定之前都要彻底检查。
3.4高级分析
所有的SIEMs都进行相关和分析,但是高级的概要分析不太常见(尽管它正变得越来越流行)。这可以通过多种方式实现。但从本质上讲,它的工作原理是建立一个网络上许多特征的基线或“正常”行为。SIEMs传统上做了某种形式的相关分析。但是分析可以让你发现偏离标准的偏差。它通过行为分析来实现这一点。“在很多情况下,这样的偏差表明了一些不好的事情,或者至少是可疑的活动,”Rochford说。
3.5安全警报
SIEM工具最重要的特性可能是能够使用上面描述的特性,尽可能快速地提醒安全人员可能发生的安全事件。警报可以显示在一个集中的仪表板上(见下),或者提供许多其他方式,包括通过自动电子邮件或文本消息。
3.6数据显示
SIEM系统的一个重要功能是,通过在一个安全指示板显示中以易于理解的图形的形式,使来自多个源的数据的解释变得更容易。与不得不费力地浏览几十个寻找异常的日志相比,这是很容易理解的。
3.7合规
SIEM技术通常用于整理事件和日志,并生成合规报告以满足特定的合规需求,消除冗长的、昂贵的和耗时的手工过程。一些提供集成与统一的合规框架,使一个“收集一次,合规许多”的方法合规报告。
四、工具的趋势和创新
在一个与IT安全同样重要的领域中,SIEM供应商不断创新,这不足为奇。以下是许多供应商已经实施或计划的一些功能:
4.1工具自动化:
今天的SIEM工具的自动化程度有很大的不同。它可能包含一些基本的自动化,例如当某些事件被触发或阈值通过时自动通知,或更先进的功能,比如在发现事件后自动收集情报。自动化最先进的形式包括触发对被检测到的威胁的自动响应。
今天,这种自动化的自动响应对被检测到的威胁的反应是相对少见的,因为担心一旦触发假阳性,可能会导致生产环境的中断。出于这个原因,它只会被那些想要采用最高安全姿态的组织使用,但是在未来,当面对黑客使用自动攻击工具的复杂攻击时,自动化响应可能会成为常态。
Rochford说:“由于担心它会对生产环境造成什么影响,人们仍然对使用自动回复有顾虑,所以它主要是被早期采用者或希望采用非常高安全姿态的公司使用。”“但我确实认为,自动响应将是必要的,因此它的使用将变得更加普遍。”
4.2人工智能和机器学习:
人工智能和机器学习与自动响应和立即对检测到的威胁作出反应的能力密切相关,并且很有可能在将来它们将成为SIEMs的日益重要的特征。然而,在短期内,大多数SIEM系统只会使用人工智能和机器学习作为人类监管系统的补充而不是一个完全自动化的替代系统。
Rochford警告说,人工智能并不是解决所有安全问题的灵丹妙药。“我们要传达的信息是,对人工智能没有过高的期望。它当然能做一些人不能做的事情,但却不能做到一切。
五、SIEM满意度
最近在美国559个大型组织的安全信息和事件管理(SIEM)用户的调查发现,84%的人认为他们的SIEM对他们的事件反应过程非常重要,非常重要。但是由波耐蒙研究所发起的这项调查还发现,只有48%的人对他们收到的情报感到满意。
这可能是因为他们太专注于一个feed,或者公司对SIEM期望过高。虽然它可以提供有价值的见解,正如Rochford所说,它不是万能药。但人员配备和整合方面的挑战也可能是SIEM不满的原因。
六、SIEM人员
Ponemon研究所的调查发现,25%的公司对SIEM的投资与软件的初始购买有关。剩下的75%用于安装、维护和人员配置。应该指出的是,78%的工作人员有一名或更少的全职工作人员被分配到SIEM管理部门。这也是为什么64%的人每年花费超过100万美元用于外部顾问和承包商来帮助SIEM配置和管理的一个主要原因。
68%的受访者表示,他们需要额外的员工来最大化SIEM的价值。
“这些数据表明,对受过训练的安全分析师的需求超过了能够填补这些职位空缺的技能人才的供应,”波耐蒙研究所(Ponemon Institute)董事长兼创始人拉里·波蒙(Larry Ponemon)博士在一份声明中说。
显然,那些希望购买SIEM的人应该考虑到财务问题的人员配置和维护方面的因素。购买软件是不够的。那些计划这样做的人必须致力于将其发挥到最大的效果。这需要增加技术人员和增加安全维护预算,以确保必要的提要被集成。
SIEM愿望列表
想要实现SIEM的组织应该向已经运行它的人学习。那些使用SIEM的人目前对他们希望他们的系统能够达到的目标有一些明确的想法。
根据Ponemon的说法,71%的受访者希望能够自动化特定的siem生成的任务,以便让响应团队关注优先级。70%的人希望他们的SIEM能产生更少的提醒,更准确,更优先,更有意义。54%的人说他们得到了太多的低层次数据和太多的警告,这使得他们很难集中精力处理重要的事情。
Cyphort首席营销官富兰克林·琼斯在一份声明中说:“波蒙德研究所的研究数据与我们从美国各地听到的有关SIEMs问题的反馈意见一致。”“数据量过高,而数据质量过低。而员工的不足则会使噪音最小化,并使潜在价值最大化。
在产品选择、实现和配置过程中牢记这些要点。由于未被发现的违约的后果,在项目初期花费的钱可以用来缓解这些问题。
七SIEM是如何实现
根据隐身技术的技术服务副总裁约翰·马歇尔(John Marshall)的说法,SIEM的采用最初是出于对日志文件的长期存档的需求,而不是作为一个安全监控解决方案。这就产生了一种常见的“量产”方法,大多数供应商都遵循这一做法。然而,这种方法在数据量大的情况下会受到影响。
试图将SIEM与多个额外的安全平台和威胁情报源联合起来可能会导致一些负面的后果。值得注意的是,运营成本和复杂性将会上升。但潜在的买家也应该明白,这并不是向系统中输入的数据量——而是质量。在大量数据不足的情况下,成本将会增加,但效益将保持在低水平。
Marshall说:“供应商的差异化需要关注于新的以案例为中心的能力,以提高数据输入的质量和应对正在进行的数据管理的挑战。”
实现方程的一部分是谁来做它,以及它将如何运行。一些公司决定在内部实施SIEM,并完全使用内部资源来管理。这个选项适用于那些已经拥有足够数量的训练有素和经验丰富的安全资源的人。那些缺乏这种资源但希望在内部主持SIEM的人,可能明智地将管理职能外包,在某些情况下也可以进行事件监测,以减轻负担。但对于那些需要SIEM但却无法提供必要的人力资源的人来说,将SIEM外包到云端可能是更明智的做法。在这里,提供者执行管理和事件监视,并在云中驻留系统。