随着云技术的普及、AI的崛起以及安全工具的深度融合,安全信息和事件管理(SIEM)系统正经历着前所未有的变革。这一变革不仅改变了SIEM的基本功能,还推动了其在企业安全运营中的核心地位。
SIEM平台已经远远超越了其基本的日志收集和关联功能。
由于网络威胁发展太快,无法手动干预,领先供应商已将AI和机器学习技术集成到其SIEM平台中。
此外,现代SIEM平台现在还融入了扩展检测与响应(XDR)和安全编排、自动化与响应(SOAR),实现了实时威胁检测和自动修复。
SIEM已成为监控日志数据以发现异常和可疑事件的平台,然后在基于异常行为和检测规则触发警报。
据分析机构IDC称,“SIEM通常作为安全分析师的工作空间,用于调查与其他上下文(如资产信息、漏洞和威胁情报)相关联的警报事件。IDC预计,未来SIEM还将成为安全运营中心(SOC)的响应中心,通过剧本自动处理许多事件。”
随着企业云使用量持续增加,谷歌的云网络安全预测显示,SIEM产品将成为企业SOC(安全运营中心)的核心,摄入“从云日志到端点遥测的一切数据”。
市场情报公司Context的全球研究和业务发展总监乔·特纳指出,更大的攻击面和更复杂的攻击正促使企业结合其他技术(包括XDR和SOAR)投资SIEM,作为关联、检测和修复威胁的平台。因此,该公司报告称,2024年SIEM市场增长了20%。
SIEM、XDR和SOAR的融合
SIEM与安全工具(如XDR和SOAR)的融合是推动市场增长的主要因素。
SIEM提供日志分析和广泛可见性,XDR扩展了跨端点和云的检测能力,而SOAR则编排响应。
当SIEM检测到安全事件时,SOAR会通过XDR触发自动响应操作——实时隔离受感染的端点、禁用受感染的用户帐户或阻止恶意流量。
通过将SIEM与XDR和SOAR融合,组织可以获得一个统一的安全平台,该平台能整合数据、降低复杂性并提高响应时间,因为系统可以配置为自动遏制威胁,无需任何手动干预。
2024年,Context记录到SIEM和XDR技术组合销售的增长率高达580%(或增长超过六倍)。据这家市场情报机构称,去年与SOAR和SIEM绑定在一起销售的服务也增加了22%,增幅虽小但仍具有重要意义。
“SIEM++这一术语被用来指代SIEM的下一步发展,它旨在满足安全运营中对自动化、AI和实时响应的当前需求。因此,SIEM与其他工具的组合使用有所增加。”Context的特纳说道。
英国托管服务提供商Emerging T-Tech的总监乔治·麦肯纳告诉记者,SIEM与XDR和SOAR的融合使企业能够简化运营、提高检测效率并缩短平均解决时间。
“传统SIEM在日志聚合和关联方面虽然有效,但缺乏在当今威胁环境中必要的细粒度可见性和自动响应能力,”麦肯纳解释道。“XDR通过集成端点、网络和云遥测,提供了潜在威胁的全面视图,从而弥补了这一空白。”
麦肯纳补充道:“然后,SOAR使事件响应工作流程实现自动化,加速了缓解和修复过程。”
基于云的SIEM兴起
随着组织寻求更具可扩展性和成本效益的平台,向基于云的SIEM的转变正在加速。
“云原生SIEM减少了运营开销,并实现了安全、DevOps和平台团队之间更快的调查和协作——这对于现代安全运营至关重要,”云和安全监控公司Datadog的云SIEM高级产品营销经理维拉·陈说道。
基于云的SIEM解决方案是即插即用的安全平台,因此企业可以订阅、通过API集成资产、使用SOAR自动化响应,并设置定制的检测规则。
“现代基于云的SIEM超越了日志管理,”通讯和网络安全提供商Exponential-e的网络解决方案顾问穆罕默德·阿里告诉记者。“它是一个智能安全中心,内置SOAR功能,与基于云的XDR/EDR解决方案实现无缝API集成,并提供实时全球威胁情报。”
阿里补充道:“这意味着更敏锐的检测能力和对高级网络威胁更快、自动化的响应。”
基于云的SIEM消除了与传统本地部署相关的昂贵硬件升级需求,提供了可扩展性和更快的响应时间,以及可能更具成本效益的按使用量付费定价模型。
“鉴于每天出现的大量新威胁,当前的SIEM无法有效应对不遵循现有模式的新兴和复杂攻击,”Palo Alto Networks英国和爱尔兰地区的首席安全官斯科特·麦金农说道。“下一代SIEM使用AI和机器学习来减少误报、帮助预测安全漏洞,并实现自动化威胁响应。”
据Context称,2024年本地SIEM的成本上涨了116%,平均每个座位达到93美元。相比之下,去年基于云的SIEM成本下降了26%,至每个座位77美元。
“现在,云SIEM的初期成本已低于本地部署,且部署速度更快,”Context的特纳解释道。“这对于希望在有限预算下保护自己的中小型企业来说非常具有吸引力。”
然而,特纳建议,由于云的高数据摄入成本,处理大量信息的大型企业可能继续更适合采用本地或混合SIEM部署。
Context报告称,2024年基于云的SIEM收入同比增长了60%。通过托管服务提供商(MSP)提供的基于SIEM的服务增长了六倍多,同期增长了550%。
“SIEM(或SIEMaaS)在MSP中的增长是由于一个非常现实的限制:许多企业由于预算限制无法聘请或留住内部安全团队,”Context的特纳说道。“这意味着投资于托管服务更具成本效益,并且无需理解和处理SIEM的复杂性。”
AI重塑SIEM格局
基于静态规则的SIEM难以跟上当今复杂的网络威胁,因此,AI驱动的SIEM平台使用实时机器学习(ML)来分析大量安全数据,提高了其识别异常和传统技术可能遗漏的未见过的攻击技术的能力。
ML模型为用户、资产和网络流量建立基线行为,持续监控偏差以指示潜在威胁。当检测到异常时,训练好的模型会生成警报,从而实现更快的威胁检测和响应。
“AI驱动的SIEM解决方案不仅检测威胁,还自动化调查过程,将实时事件与全球威胁情报相关联,”Exponential-e的阿里说道。“通过与SOAR和XDR/EDR平台集成,可以触发自动响应或将事件升级给安全分析师以采取进一步行动。”
阿里补充道:“这显著提高了事件响应效率,并支持了一个更高效、敏捷的安全运营中心,该中心始终领先攻击者一步。”
AI驱动的SIEM可以优先处理关键警报、建议响应操作并自动化修复,从而减少噪音和疲劳。
“随着对手利用AI,安全团队必须采用AI驱动的自动化来保持领先。”Datadog的陈说道。
行业整合
随着供应商寻求开发更全面、更强大的平台,SIEM市场正在经历快速整合。
“组织要求更少的工具、更深入的集成和无缝的端到端安全运营——能够满足这些需求的供应商将塑造网络安全的未来。”Datadog的陈说道。
过去几年显著的SIEM并购活动包括:
• 2024年9月,Palo Alto Networks以5亿美元收购IBM的QRadar SaaS业务
• 2024年7月,Exabeam与LogRhythm合并
• 2024年3月,Cisco以约280亿美元收购Splunk
• 2022年,谷歌收购SOAR公司Siemplify,以集成到Google Chronicle SIEM中
• 2021年,IBM收购专注于AI驱动检测的Reaqta,以增强QRadar在XDR市场的能力
“我们看到销售独立SIEM产品的供应商越来越少,而捆绑套件的数量有所增加。”Context的特纳说道。
“传统SIEM供应商正在收购云原生安全公司,以帮助客户推动从本地到云解决方案的过渡,云解决方案具有更具竞争力的定价模型。”他补充道。
