傳統(tǒng)的 SIEM 系統(tǒng)是安全運(yùn)營(yíng)的支柱，負(fù)責(zé)處理安全運(yùn)營(yíng)中心 （SOC） 的日志管理、事件關(guān)聯(lián)和警報(bào)。但是傳統(tǒng)的SIEM工具是在攻擊更緩慢、更簡(jiǎn)單的時(shí)代設(shè)計(jì)的。隨著技術(shù)的進(jìn)步,這些老系統(tǒng)缺乏在數(shù)據(jù)密集型環(huán)境中運(yùn)行所需的速度和處理能力。管理和運(yùn)營(yíng)老舊SIEM系統(tǒng)增加了新的復(fù)雜層，降低了響應(yīng)速度和整體運(yùn)營(yíng)效率,耗費(fèi)資源并進(jìn)一步導(dǎo)致延遲。

對(duì)于旨在增強(qiáng)網(wǎng)絡(luò)安全態(tài)勢(shì)的組織而言,采用下一代SIEM解決方案日益至關(guān)重要。隨著網(wǎng)絡(luò)威脅不斷演變,數(shù)據(jù)量持續(xù)增長(zhǎng),傳統(tǒng)SIEM系統(tǒng)往往力有未逮,需要轉(zhuǎn)向更先進(jìn)的技術(shù)。下一代SIEM具有以下6個(gè)關(guān)鍵特征：

下一代SIEM解決方案利用人工智能和機(jī)器學(xué)習(xí),可跨云端、本地和混合基礎(chǔ)設(shè)施等各種環(huán)境提供實(shí)時(shí)威脅檢測(cè)。它們分析來(lái)自多個(gè)來(lái)源(包括日志和網(wǎng)絡(luò)流量)的大量數(shù)據(jù),從而能夠快速識(shí)別已知和未知威脅。這一能力大大縮短了識(shí)別安全事件的平均時(shí)間(MTTI),增強(qiáng)了組織抵御攻擊的能力。

下一代SIEM解決方案通過攝取多樣化的流量數(shù)據(jù),提供全面的可見性。這種整體視圖允許安全團(tuán)隊(duì)關(guān)聯(lián)跨所有系統(tǒng)和網(wǎng)絡(luò)的事件,提高發(fā)現(xiàn)潛在網(wǎng)絡(luò)威脅的能力。處理數(shù)百萬(wàn)條數(shù)據(jù)補(bǔ)充的能力確保組織能夠?qū)崿F(xiàn)有效的安全控制,降低整體風(fēng)險(xiǎn)狀況。

下一代SIEM通常作為云原生SaaS平臺(tái)提供,具有傳統(tǒng)系統(tǒng)無(wú)法匹敵的彈性擴(kuò)展能力。這種靈活性使組織能夠根據(jù)不斷變化的需求調(diào)整其安全基礎(chǔ)設(shè)施,而無(wú)需付出大量成本。部署選項(xiàng)可包括完全托管服務(wù)、共同管理解決方案或結(jié)合本地和云資源的混合模式。

下一代SIEM解決方案通過提供全面的報(bào)告功能,有助于持續(xù)符合HIPAA、GDPR和PCI等監(jiān)管要求。通過對(duì)歷史數(shù)據(jù)進(jìn)行高級(jí)數(shù)據(jù)分析,組織可以確保滿足嚴(yán)格的合規(guī)性要求,同時(shí)將與不合規(guī)相關(guān)的處罰風(fēng)險(xiǎn)降至最低。

下一代SIEM解決方案利用開放API,能夠無(wú)縫集成各種安全工具和平臺(tái)。這種互操作性打破了組織安全架構(gòu)內(nèi)的數(shù)據(jù)孤島,促進(jìn)了更統(tǒng)一的威脅管理方法。

隨著網(wǎng)絡(luò)威脅正在變得更加復(fù)雜,攻擊速度不斷加快,組織必須升級(jí)安全運(yùn)營(yíng)。下一代SIEM通過整合先進(jìn)功能來(lái)跟上這些新的變化,實(shí)現(xiàn)更快的檢測(cè)速度和更短的響應(yīng)時(shí)間，從而助力企業(yè)不斷優(yōu)化網(wǎng)絡(luò)安全戰(zhàn)略，防范不斷演進(jìn)的威脅。

雖然下一代SIEM解決方案具有先進(jìn)功能,但在實(shí)施過程中仍面臨一些挑戰(zhàn)。其中包括:

下一代SIEM解決方案可能會(huì)產(chǎn)生大量數(shù)據(jù),組織每天可能記錄數(shù)十億個(gè)事件。管理、存儲(chǔ)和分析這些數(shù)據(jù)可能會(huì)使系統(tǒng)不堪重負(fù),導(dǎo)致難以檢索到有效的威脅管理相關(guān)信息。如果處理不當(dāng),龐大的數(shù)據(jù)量會(huì)降低SIEM的整體效率。

網(wǎng)絡(luò)安全行業(yè)面臨著嚴(yán)重的人才短缺,全球需要數(shù)百萬(wàn)名專業(yè)人員。組織必須在管理下一代SIEM解決方案所需的熟練人員和預(yù)算限制之間尋求平衡,因此招聘和留住能夠有效操作這些先進(jìn)系統(tǒng)的合格員工具有挑戰(zhàn)性。

將下一代SIEM與現(xiàn)有技術(shù)集成可能會(huì)很復(fù)雜,尤其是對(duì)于使用遺留系統(tǒng)的組織而言。兼容性問題可能難以避免,特別是如果當(dāng)前基礎(chǔ)設(shè)施使用了與現(xiàn)代SIEM架構(gòu)不一致的過時(shí)協(xié)議或配置。如果管理不當(dāng),這種復(fù)雜性可能會(huì)阻礙無(wú)縫運(yùn)營(yíng),并可能引入安全漏洞。

下一代SIEM解決方案的部署和配置可能很復(fù)雜,需要仔細(xì)規(guī)劃和執(zhí)行。由于所涉及的復(fù)雜性,組織可能會(huì)遇到較長(zhǎng)的部署時(shí)間,這可能會(huì)增加運(yùn)營(yíng)開銷,因?yàn)閳F(tuán)隊(duì)不得不應(yīng)對(duì)這些挑戰(zhàn)。

隨著組織采用下一代SIEM解決方案,他們必須確保遵守各種與數(shù)據(jù)隱私和安全相關(guān)的法規(guī)。在實(shí)施新技術(shù)的同時(shí),遵守這些合規(guī)性要求可能是一項(xiàng)艱巨的任務(wù),特別是隨著法規(guī)不斷發(fā)展變化。

下一代SIEM可能需要大量管理工作,包括維護(hù)、更新和擴(kuò)展。這種持續(xù)的運(yùn)營(yíng)負(fù)擔(dān)會(huì)分散資源,可能會(huì)影響整體網(wǎng)絡(luò)安全效率,而無(wú)法集中精力于戰(zhàn)略性安全計(jì)劃。

如此可見，實(shí)施下一代SIEM解決方案需要謹(jǐn)慎的規(guī)劃和執(zhí)行,以最大限度地發(fā)揮其效力。

首先要明確定義組織的安全目標(biāo),如合規(guī)性監(jiān)控、高級(jí)威脅檢測(cè)或事件響應(yīng)。了解這些目標(biāo)將有助于在實(shí)施過程中確定關(guān)鍵流程和任務(wù)的優(yōu)先級(jí)。

接下來(lái)要選擇與組織的特定安全需求和預(yù)算相符的下一代SIEM供應(yīng)商。評(píng)估他們的能力,以確保能有效滿足組織的要求。

CrowdStrike 的 EMEA 首席技術(shù)官認(rèn)為，選擇合適的下一代SIEM解決方案應(yīng)該關(guān)注以下三個(gè)問題：

第一,SIEM能否在成本有效的情況下處理混合云環(huán)境和現(xiàn)代IT基礎(chǔ)設(shè)施產(chǎn)生的不斷增長(zhǎng)的數(shù)據(jù)量?

第二,SIEM是否易于部署和維護(hù)?

第三,它是否打破了數(shù)據(jù)孤島,整合了工具,降低了復(fù)雜性和成本?一個(gè)有效的SIEM應(yīng)該能夠無(wú)縫集成現(xiàn)有工具,跨不同來(lái)源收集、規(guī)范化和關(guān)聯(lián)數(shù)據(jù)。 

在部署之前,熟悉日志數(shù)據(jù)的類型、來(lái)源和行為。了解可用數(shù)據(jù)及其生成方式將有助于優(yōu)化數(shù)據(jù)收集和分析策略。

專注于從防火墻、Active Directory和關(guān)鍵應(yīng)用程序等高價(jià)值系統(tǒng)收集日志。這種方法有助于管理數(shù)據(jù)量,同時(shí)確保分析最相關(guān)的信息。

建立基線關(guān)聯(lián)規(guī)則以捕獲基本的合規(guī)性要求并檢測(cè)潛在威脅。這些規(guī)則應(yīng)定期審查和完善,以最小化誤報(bào),同時(shí)確保有效的威脅檢測(cè)。

在傳統(tǒng)關(guān)聯(lián)規(guī)則的基礎(chǔ)上增加UEBA,根據(jù)學(xué)習(xí)到的行為模式識(shí)別異常。這一功能對(duì)于檢測(cè)可能無(wú)法被標(biāo)準(zhǔn)規(guī)則捕獲的內(nèi)部威脅特別有用。

利用自動(dòng)化功能來(lái)簡(jiǎn)化關(guān)鍵事件的警報(bào)流程。對(duì)檢測(cè)到的威脅自動(dòng)化響應(yīng)可顯著縮短響應(yīng)時(shí)間,提高整體事件管理效率。

投資培訓(xùn)SIEM管理員和安全分析師,確保他們能夠有效響應(yīng)警報(bào)并管理系統(tǒng)。持續(xù)教育新興威脅和系統(tǒng)更新也至關(guān)重要。

定期監(jiān)控下一代SIEM解決方案的性能,并對(duì)其進(jìn)行更新以應(yīng)對(duì)新威脅。定期評(píng)估其檢測(cè)事件的有效性,并根據(jù)需要調(diào)整配置。

建立流程以保持符合相關(guān)行業(yè)法規(guī)。定期審查SIEM如何協(xié)助合規(guī)性審計(jì)和報(bào)告要求。

成功實(shí)施下一代 SIEM 需要組織的決心和持續(xù)投入。這不僅是一個(gè)技術(shù)轉(zhuǎn)型的過程，更需要文化和流程上的變革。組織必須從高層領(lǐng)導(dǎo)開始,將網(wǎng)絡(luò)安全作為頭等大事,為實(shí)施下一代 SIEM 提供充足的資源和支持。同時(shí),要樹立風(fēng)險(xiǎn)意識(shí),認(rèn)識(shí)到網(wǎng)絡(luò)攻擊給業(yè)務(wù)帶來(lái)的嚴(yán)重后果。