SIEM技术现已应用了约20年的时间,其早期产品的用途主要是帮助用户更好地进行日志管理和满足法规遵从性要求,很少应用到威胁检测与响应中。然而,由于现代企业的威胁攻击面不断扩大和对未知攻击的担忧不断增加,安全团队需要实现由数据驱动的威胁检测和响应能力,新一代SIEM产品也随之产生。
新一代SIEM的能力演进
目前,行业对新一代SIEM还没有一种明确或普遍接受的概念。然而,我们可以从Gartner给出的SIEM定义中来进行分析:SIEM是一种技术,旨在通过收集和分析安全事件以及上下文数据源,来实现或支持威胁检测、合规和安全事件管理。
这个定义可以套用到新一代SIEM的概念中:新一代SIEM比传统SIEM更先进,利用新一代大数据技术和数据建模技术,提供经过改进的数据汇集流程和用户界面/体验,并提供额外的威胁检测和处置功能,比如实体行为分析(UEBA)以及SOAR开放式集成。
通过对传统SIEM系统进行更有力的升级,企业用户将可以获得更准确的分析结果,并且不受过时技术框架和流程的制约。新一代SIEM的新功能可能因厂商而异,但通常都会具备以下典型功能。
- 云原生操作:新一代SIEM完全有必要直接在云端操作、与基于云的系统兼容。这使组织可以统一监控众多应用程序、设备、服务器和端点,并提高了跨不同数据源收集日志的效率。
- 高级威胁检测:相比传统的SIEM,新一代SIEM能够识别并预测威胁和攻击,它可以发现可疑活动、不寻常的行为以及与恶意活动相一致的模式。
- 更有效的误报处理:误报并非完全可以避免。然而,传统的SIEM显然有太多的误报。新一代SIEM系统可以通过采用人工智能和事件相关机制来提高检测精准度。
- 更快速的数据处理:传统SIEM常常与基于数据量的数据评估相关。因此,收集和分析的数据越多,SIEM的运作成本就越高。新一代SIEM则借助统一数据评估模型解决了这个问题,大大降低了获取数据的成本。
- 加强集成:新一代SIEM可以与更多的安全工具和系统协同工作,包括安全编排自动化和响应(SOAR)、实时可视化工具、行为分析以及连接公共数据源、自定义数据源及其他数据源的威胁情报。
未来属于开放式XDR?
虽然新一代SIEM与上一代相比有了重大飞跃,但研究人员认为,改进后的SIEM系统仍然会存在一些缺点:
- 首先,数据管理效率低下是SIEM框架固有的缺点。尽管新一代SIEM平台在竭力解决这个问题,但目前还没有证明其效果。
- 另外,手动工作在SIEM中依然必不可少,需要依靠由人编写的规则来进行工作就是一个佐证。
- 此外,即使下一代SIEM在集成方面有所改进,选择范围仍比较有限,难以确保它与组织常用的安全工具能够有效协同工作。
由于SIEM技术存在以上难以根本性解决的难题,一种开放式XDR技术开始出现,并被视为是完善SIEM技术应用不足的有效补充,甚至有观点认为,开放式XDR技术将成为SIEM的替代者。
从产品的应用目标上,开放式XDR技术与新一代SIEM技术有很多相似之处,主要是通过数据聚合和分析,帮助企业提升对威胁的检测和响应能力。但开放式XDR采用了和新一代SIEM完全不同的技术框架,更易于实现多种安全数据和能力的集成。开放式XDR框架要求所有的安全数据必须先经过统一的规范和提炼,然后才能存储到数据湖或大数据处理系统,这与传统SIEM的做法形成了鲜明对比。由于对收集和存储的安全数据进行了高质量的处理,这使开放式XDR得以最大限度地发挥人工智能的优势。
此外,开放式 XDR可以借助不同的安全控制措施来应对各位威胁风险,并使用的统一控制界面来保障用户的安全运营体验,让安全运营人员在一个平台上轻松应用UEBA、SOAR、NDR、EDR及其他各种工具和技术。
不过,尽管开放式XDR从理论上看更先进,但是目前在产品化落地中却还不够成熟,因为目前尚缺乏统一的XDR技术行业标准,因此在不同厂商能力的标准化整合过程中,其实现效果还需要进一步观察和验证。
结语
网络安全威胁形势在持续地变化,实现数据驱动的安全能力建设是企业用户的必然选择。目前,下一代SIEM和开放式XDR都是企业组织在加强网络防御时可以考虑的方法,不过它们也都存在了一些不足与挑战。
企业组织需要积极采用更先进的技术方法来扩展威胁检测和响应能力。然而,这并不意味着组织应该盲目地采用新技术和新产品。充分了解自己的应用需求,然后选择合适的技术产品,这对威胁检测和响应能力的提升非常重要。有时候,尝试选择多种不同的方法可能必不可少,因此,部署替代或补充型的解决方案也是企业应该考虑的建设方法。