安全信息與事件管理(SIEM)源于日志管理，但早已演變得比事件管理強(qiáng)大許多，今天的SIEM軟件提供商還引入了機(jī)器學(xué)習(xí)、高級(jí)統(tǒng)計(jì)分析和其他分析方法。

　　SIEM軟件是什么？

SIEM軟件能給企業(yè)安全人員提供其IT環(huán)境中所發(fā)生活動(dòng)的洞見和軌跡記錄。

SIEM技術(shù)已存在了十年以上，最早是從日志管理發(fā)展起來的。它將安全事件管理(SEM)——實(shí)時(shí)分析日志和事件數(shù)據(jù)以提供威脅監(jiān)視、事件關(guān)聯(lián)和事件響應(yīng)，與安全信息管理(SIM)——收集、分析并報(bào)告日志數(shù)據(jù)，結(jié)合了起來。

SIEM的運(yùn)作機(jī)制是什么

SIEM軟件收集并聚合公司所有技術(shù)基礎(chǔ)設(shè)施所產(chǎn)生的日志數(shù)據(jù)，數(shù)據(jù)來源從主機(jī)系統(tǒng)及應(yīng)用，到防火墻及殺軟過濾器之類網(wǎng)絡(luò)和安全設(shè)備都有。

收集到數(shù)據(jù)后，SIEM軟件就開始識(shí)別并分類事件，對事件進(jìn)行分析。該軟件的主要目標(biāo)有兩個(gè)：

1. 產(chǎn)出安全相關(guān)事件的報(bào)告，比如成功/失敗的登錄、惡意軟件活動(dòng)和其他可能的惡意活動(dòng)。

2. 如果分析表明某活動(dòng)違反了預(yù)定義的規(guī)則集，有潛在的安全問題，就發(fā)出警報(bào)。

企業(yè)對更好合規(guī)管理的需求，是早期對該技術(shù)采用的主要驅(qū)動(dòng)力。審計(jì)人員需要檢查規(guī)定有沒有被遵從的方法，而SIEM提供了滿足HIPPA、SOX和 PCI DDS 等強(qiáng)制要求的監(jiān)視與報(bào)告功能。然而，專家表示，近些年企業(yè)對更好的安全措施的需求，才是SIEM市場更大的驅(qū)動(dòng)力。

如今，大型企業(yè)通常都將SIEM視為支撐安全運(yùn)營中心(SOC)的基礎(chǔ)。

分析與情報(bào)

安全運(yùn)營中SIEM軟件使用背后的一個(gè)主要推動(dòng)因素，是市場上很多產(chǎn)品包含的新功能。除了傳統(tǒng)的日志數(shù)據(jù)，很多SIEM技術(shù)還引入了威脅情報(bào)饋送，更有多種SIEM產(chǎn)品具備安全分析能力，不僅監(jiān)視網(wǎng)絡(luò)行為，還監(jiān)測用戶行為，可針對某動(dòng)作是否惡意活動(dòng)給出更多情報(bào)。

事實(shí)上，Gartner在其2017年5月對全球SIEM市場的報(bào)告中，點(diǎn)出了SIEM工具中的情報(bào)，描述為“SIEM市場中的創(chuàng)新，正以驚人的速度，創(chuàng)建更好的威脅檢測工具。”

報(bào)告進(jìn)一步指出，提供商正往其產(chǎn)品中引入機(jī)器學(xué)習(xí)、高級(jí)統(tǒng)計(jì)分析和其他分析方法，其中一些還在實(shí)驗(yàn)人工智能和深度學(xué)習(xí)功能。

提供商市場如此發(fā)展，是因?yàn)橛辛四芨飚a(chǎn)出更準(zhǔn)確檢測率的功能。不過，企業(yè)也不確定這些功能是否有給公司帶來新的收益，或者是怎么給公司創(chuàng)收的。

至于此類技術(shù)的前景， Forrester Research的首席分析師羅博·斯特勞德認(rèn)為：

在AI和機(jī)器學(xué)習(xí)的幫助下，我們可以做推斷和基于模式的監(jiān)視與警報(bào)，但真正的機(jī)會(huì)是預(yù)見性的修復(fù)。這就是當(dāng)今市場動(dòng)向。正在從監(jiān)視工具，變成提供修復(fù)建議的軟件。在未來，SIEM甚至可以自動(dòng)化修復(fù)操作。

企業(yè)中的SIEM

全球企業(yè)的安全開銷中，SIEM軟件僅占很小的一部分。Gartner估測，2017年全球企業(yè)安全開支約在984億美元左右，SIEM軟件大概會(huì)收獲24億美元。Gartner預(yù)計(jì)，在SIEM技術(shù)上的開銷將會(huì)平穩(wěn)增長，2018年到26億美元，2021年到34億美元。

SIEM軟件主要被大型企業(yè)和上市公司采用，此類公司中合規(guī)要求是采納該技術(shù)的重要原因。

雖然有些中型企業(yè)也用SIEM軟件，小公司卻既沒必要也沒意愿往SIEM里投錢。分析師稱，他們通常無力購買自已的解決方案，因?yàn)槠淠甓乳_銷可達(dá)數(shù)萬到十幾萬美元。而且，小公司也沒能力雇傭持續(xù)維護(hù)SIEM所需的人才。

也就是說，有些中小企業(yè)(SMB)通過軟件即服務(wù)的方式，從足以售賣該服務(wù)的外包供應(yīng)商處，獲得了SIEM。

鑒于流經(jīng)SIEM系統(tǒng)的部分?jǐn)?shù)據(jù)比較敏感，目前大型企業(yè)用戶習(xí)慣在本地運(yùn)行SIEM軟件。GlaxoSmithKline美國SOC首席分析師兼SANS研究所導(dǎo)師約翰·哈巴德說：“你在記錄敏感的東西，這種東西可不是人人都敢冒在互聯(lián)網(wǎng)上發(fā)送的風(fēng)險(xiǎn)的。”

不過，隨著機(jī)器學(xué)習(xí)和人工智能在SIEM產(chǎn)品中的增多，一些分析師也預(yù)計(jì)，SIEM提供商會(huì)拿出一個(gè)混合選項(xiàng)，部分分析在云端執(zhí)行。

云端收集、整理和產(chǎn)出情報(bào)正在興起，因?yàn)樘峁┥炭梢员裙臼占⑹崂砀鄶?shù)據(jù)。

SIEM工具和提供商選擇

基于全球銷售額，SIEM市場有幾家居于統(tǒng)治性地位的供應(yīng)商，尤其是IBM、Splunk和HPE（惠普企業(yè)）。還有更多一些的主流玩家，比如 Alert Logic、Intel、LogRhythm、ManageEngine、Micro Focus、Solar Winds 和Trustwave。

　　Gartner2017 SIEM領(lǐng)域魔力象限圖

穆西奇稱，公司企業(yè)需根據(jù)自己的目標(biāo)來評估產(chǎn)品，決定哪款最符合自身需要。主要為了合規(guī)的企業(yè)，就會(huì)比想利用SIEM建立SOC的公司，更看重報(bào)告之類的特定功能。

同時(shí)，擁有PT級(jí)海量數(shù)據(jù)的企業(yè)，也會(huì)尋找更適合他們需求的某些供應(yīng)商，而擁有數(shù)據(jù)較少的企業(yè)，可能選擇其他。同樣的，需要優(yōu)良威脅捕獵功能的公司，會(huì)尋求頂級(jí)數(shù)據(jù)可視化工具和搜索功能。

評估SIEM供應(yīng)商時(shí)，安全主管需要考慮很多其他因素，比如他們是否能支持特定工具、系統(tǒng)中會(huì)有多少數(shù)據(jù)、需要支付多少錢。舉個(gè)例子，HPE的 ArcSight ESM 是一款功能完善的成熟工具，但需要大量專業(yè)知識(shí)，且比其他選擇要貴。安全操作越復(fù)雜，越能充分利用好手中的工具。

鑒于SIEM選擇背后兩大驅(qū)動(dòng)力導(dǎo)致的功能需求各不相同，很多企業(yè)會(huì)選取2套不同系統(tǒng)，一套關(guān)注合規(guī)，但這會(huì)減慢威脅檢測。另一套則是戰(zhàn)術(shù)性的SIEM，用于威脅檢測。

最大化SIEM價(jià)值

大多數(shù)公司仍主要將SIEM軟件用于追蹤和調(diào)查已發(fā)生過什么。這一用例的驅(qū)動(dòng)因素，是數(shù)據(jù)泄露威脅的升級(jí)，以及此類事件中安全主管和公司企業(yè)所面臨后果的不斷加碼。可以想象，如果公司被黑，沒有任何一位CIO，會(huì)在接受董事會(huì)問詢時(shí)說“我特么要是知道就好了。”他們最應(yīng)該想說的是“我們會(huì)梳理日志數(shù)據(jù)，查明發(fā)生了什么。”

不過，現(xiàn)在也有很多公司不滿足于SIEM的這一用例，開始將該技術(shù)更多地用在檢測和近實(shí)時(shí)響應(yīng)上。現(xiàn)在的玩法是：你的檢測速度有多快？不斷發(fā)展的機(jī)器學(xué)習(xí)，正幫助SIEM系統(tǒng)更加準(zhǔn)確地識(shí)別異常活動(dòng)和潛在惡意活動(dòng)。

盡管了有了這些發(fā)展，公司企業(yè)還是面臨最大化工具效果，甚至最大限度榨取已有系統(tǒng)價(jià)值的挑戰(zhàn)。其中原因多種多樣。

首先，SIEM技術(shù)是資源密集型工具，需要經(jīng)驗(yàn)豐富的人員來實(shí)現(xiàn)、維護(hù)和調(diào)整——這種員工不是所有企業(yè)都能完全投入的。

很多企業(yè)因?yàn)橹肋@是自己需要的東西而買下了該技術(shù)，但他們并沒有能夠搞定該技術(shù)的人員，或者他們沒對員工進(jìn)行所需的培訓(xùn)。

想要最大化SIEM軟件產(chǎn)出，就需要擁有高品質(zhì)的數(shù)據(jù)。數(shù)據(jù)源越大，該工具產(chǎn)出越好，越能識(shí)別出異常值。然而，公司企業(yè)在定義和提供正確數(shù)據(jù)方面苦苦掙扎。

且即便有了強(qiáng)大的數(shù)據(jù)和高端團(tuán)隊(duì)來運(yùn)營SIEM技術(shù)，該軟件自身也有局限。在檢測可接受活動(dòng)和合法潛在威脅上，SIEM并非完全準(zhǔn)確，正是這種差異，導(dǎo)致了很多SIEM部署中出現(xiàn)了大量誤報(bào)。該情況需要企業(yè)內(nèi)有強(qiáng)力監(jiān)管和有效規(guī)程，避免安全團(tuán)隊(duì)被警報(bào)過載拖垮。

安全人員往往從追逐大量誤報(bào)開始。成熟的公司會(huì)學(xué)著調(diào)整工具，讓該軟件理解什么是正常事件，以此來降低誤報(bào)數(shù)量。但另一方面，一些安全團(tuán)隊(duì)會(huì)跳過該步驟，習(xí)慣性直接無視太多誤報(bào)——有可能錯(cuò)過真正威脅的一種操作。

更為高端的公司還會(huì)編寫腳本來自動(dòng)化更多常規(guī)功能。比如從不同數(shù)據(jù)源拉取上下文數(shù)據(jù)以建立更完整的警報(bào)視圖，加速對真正威脅的調(diào)查和識(shí)別。這需要良好的過程和安全運(yùn)營成熟度。也就是說，不僅僅將SIEM作為一個(gè)單獨(dú)的工具，而是將之與其他技術(shù)整合，有個(gè)整體的過程來引導(dǎo)各種行動(dòng)。

如此，可以減少員工花費(fèi)在低端動(dòng)作上的時(shí)間，讓他們可以將自己的精力放在高價(jià)值任務(wù)上，以提升公司的整體安全態(tài)勢。