和传统SIEM说再见的10个理由

一定规模的安全公司几乎都会有套昂贵的SIEM系统。出于各种原因,SIEM曾经一度处于安全运营和事件响应的中心位置。但随着时间流逝,安全运营工作流越来越复杂,公司企业能从SIEM中获得的价值已大不如前。但这并不是说公司企业应马上完全摒弃SIEM。

solutions-SIEM-Limitations-690x483

事实上,正好相反,公司企业应敦促SIEM提供商满足2018的安全运营需求,而不是二十年前的。而一旦这些遗留系统真的达不到当今的要求,可能也就到了该换个选项的时候了。

基于此,特给出和传统SIEM说再见的10个理由:

1. 攻击不是线性的

大多数SIEM按行呈现其摄入的数据。换句话说,线性输入线性出。然而不幸的是,攻击者和攻击本身却并不总是线性的。瞪着一张事件列表并不能帮你找出可疑或恶意行为。

2. 关注数据价值而非其数量

人们总想把所有能接入的数据源上的数据都收集起来。但你有没有想过这些源对安全运营有没有价值呢?如果没有,还有必要收集了存起来吗?收集来的每份数据都会缩短现有存储空间的寿命,降低调查分析的效率。数据收集应更聪明些,而不是更努力些。

3. 太多工具

大多数安全公司持有的安全工具数量都十分惊人。有这么多工具可用的同时,需要每种工具满足多种不同操作需求的时代也来临了。随着安全运营行业的成熟,对SIEM的要求已超出了大部分传统供应商的能力范围。

4. 内部流量

包括SIEM在内的很多安全解决方案,都重度依赖边界流量来提供可见性。但很不幸,边界内部也是有很多很重要的东西的。横向移动、内部应用误用和凭证窃取之类的事通常都发生在公司内部。然而,公司内部恰恰是很多公司企业都难以获得足够可见性的地方。视而不见或不闻不问要不得。

5. 数据切分

大多数安全分析员通常都有才、聪明、有创造性。他们需要能够构建复杂查询的工具来切分数据,以便能够调查可疑行为,并发现其他需要注意的活动。另外,速度和效率也很关键。不应该耗费数小时才可以知道给定类型的行为是否曾经出现过。

6. 关联

安全团队需要工具将相关事件关联起来。至少安全工具应该是辅助而不是阻碍分析师做这些关联。除此之外,现代工具还应能在分析师着手之前就自动关联某些相关数据。

7. 上下文

描述清楚事件可以让安全团队做出及时准确的决策。这涉及到从不同数据源收集各种支持性证据揉合成重要的上下文,而不是直接抛出缺乏上下文的事件。不支持这种程度的调查自由度,或者没办法自动化其中一部分工作的工具,在2018年是没有市场的。

8. 更智能的内容构建

无论公司企业的检测技术多么紧跟潮流常换常新,总有改进的空间。如果你已经有了精英安全团队,他们很可能会对传统SIEM系统那有限的分析和查询能力感到绝望。他们脑中有关新检测技术的构想,需要现代工具帮助他们挖掘出来并加以实现。

9. 更平滑的调查

只要用过传统SIEM调查事件,就会很快发现这调查过程磕磕绊绊一点都不平滑。今天的调查要求工具拥有足够的灵活性和功能性,要能对各式各样的大量数据做深入查询。

10. 新方法

人工发展警报逻辑是非常重要的活动,但也有可能是效率极低的做法。自动化分析方法已经成熟到了可以产出价值附加警报的程度,为安全运营工作流带来效率。当然也有工具并不具备足够的分析严谨性,会产生大量误报和噪音。不过,有一部分精选工具可以产生人类可能没识别出的高保真可靠警报。虽然步伐缓慢,但这一功能必然会成为现代安全团队必备品。

上一篇:百亿年收入的网络安全企业如何成就

下一篇:各大操作系统误读英特尔文档致内核可被劫持或崩溃