和傳統SIEM說再見的10個理由
一定規模的安全公司幾乎都會有套昂貴的SIEM系統。出于各種原因,SIEM曾經一度處于安全運營和事件響應的中心位置。但隨著時間流逝,安全運營工作流越來越復雜,公司企業能從SIEM中獲得的價值已大不如前。但這并不是說公司企業應馬上完全摒棄SIEM。
事實上,正好相反,公司企業應敦促SIEM提供商滿足2018的安全運營需求,而不是二十年前的。而一旦這些遺留系統真的達不到當今的要求,可能也就到了該換個選項的時候了。
基于此,特給出和傳統SIEM說再見的10個理由:
1. 攻擊不是線性的
大多數SIEM按行呈現其攝入的數據。換句話說,線性輸入線性出。然而不幸的是,攻擊者和攻擊本身卻并不總是線性的。瞪著一張事件列表并不能幫你找出可疑或惡意行為。
2. 關注數據價值而非其數量
人們總想把所有能接入的數據源上的數據都收集起來。但你有沒有想過這些源對安全運營有沒有價值呢?如果沒有,還有必要收集了存起來嗎?收集來的每份數據都會縮短現有存儲空間的壽命,降低調查分析的效率。數據收集應更聰明些,而不是更努力些。
3. 太多工具
大多數安全公司持有的安全工具數量都十分驚人。有這么多工具可用的同時,需要每種工具滿足多種不同操作需求的時代也來臨了。隨著安全運營行業的成熟,對SIEM的要求已超出了大部分傳統供應商的能力范圍。
4. 內部流量
包括SIEM在內的很多安全解決方案,都重度依賴邊界流量來提供可見性。但很不幸,邊界內部也是有很多很重要的東西的。橫向移動、內部應用誤用和憑證竊取之類的事通常都發生在公司內部。然而,公司內部恰恰是很多公司企業都難以獲得足夠可見性的地方。視而不見或不聞不問要不得。
5. 數據切分
大多數安全分析員通常都有才、聰明、有創造性。他們需要能夠構建復雜查詢的工具來切分數據,以便能夠調查可疑行為,并發現其他需要注意的活動。另外,速度和效率也很關鍵。不應該耗費數小時才可以知道給定類型的行為是否曾經出現過。
6. 關聯
安全團隊需要工具將相關事件關聯起來。至少安全工具應該是輔助而不是阻礙分析師做這些關聯。除此之外,現代工具還應能在分析師著手之前就自動關聯某些相關數據。
7. 上下文
描述清楚事件可以讓安全團隊做出及時準確的決策。這涉及到從不同數據源收集各種支持性證據揉合成重要的上下文,而不是直接拋出缺乏上下文的事件。不支持這種程度的調查自由度,或者沒辦法自動化其中一部分工作的工具,在2018年是沒有市場的。
8. 更智能的內容構建
無論公司企業的檢測技術多么緊跟潮流常換常新,總有改進的空間。如果你已經有了精英安全團隊,他們很可能會對傳統SIEM系統那有限的分析和查詢能力感到絕望。他們腦中有關新檢測技術的構想,需要現代工具幫助他們挖掘出來并加以實現。
9. 更平滑的調查
只要用過傳統SIEM調查事件,就會很快發現這調查過程磕磕絆絆一點都不平滑。今天的調查要求工具擁有足夠的靈活性和功能性,要能對各式各樣的大量數據做深入查詢。
10. 新方法
人工發展警報邏輯是非常重要的活動,但也有可能是效率極低的做法。自動化分析方法已經成熟到了可以產出價值附加警報的程度,為安全運營工作流帶來效率。當然也有工具并不具備足夠的分析嚴謹性,會產生大量誤報和噪音。不過,有一部分精選工具可以產生人類可能沒識別出的高保真可靠警報。雖然步伐緩慢,但這一功能必然會成為現代安全團隊必備品。
