隨著組織對其 IT 基礎(chǔ)設(shè)施進(jìn)行現(xiàn)代化改造并增加云服務(wù)的采用，安全團(tuán)隊(duì)在人員配置、預(yù)算和技術(shù)方面面臨著新的挑戰(zhàn)。為了跟上步伐，安全計(jì)劃必須不斷發(fā)展，以保護(hù)現(xiàn)代 IT 環(huán)境，利用有限的資源抵御快速發(fā)展的威脅。這需要重新思考傳統(tǒng)的安全策略，并將投資重點(diǎn)放在云安全、人工智能驅(qū)動(dòng)的防御和技能開發(fā)等能力上。前進(jìn)的道路要求安全團(tuán)隊(duì)在技術(shù)和網(wǎng)絡(luò)風(fēng)險(xiǎn)的變化中保持敏捷、創(chuàng)新和戰(zhàn)略性。

為了滿足這些安全需求，安全團(tuán)隊(duì)必須重點(diǎn)關(guān)注三個(gè)關(guān)鍵轉(zhuǎn)型：

1. 從封閉的供應(yīng)商生態(tài)系統(tǒng)演變?yōu)殚_放、協(xié)作、社區(qū)驅(qū)動(dòng)的防御
2. 通過人工智能和自動(dòng)化擴(kuò)展安全專業(yè)知識(shí)
3. 從以工具為中心的防御演變?yōu)橐苑治鰩煘閯?dòng)力的結(jié)果

實(shí)現(xiàn)安全運(yùn)營計(jì)劃現(xiàn)代化最有效的步驟之一是升級核心 SIEM 平臺(tái)。作為 SOC 團(tuán)隊(duì)的中樞神經(jīng)系統(tǒng)，SIEM 收集、關(guān)聯(lián)和分析整個(gè) IT 環(huán)境中的數(shù)據(jù)以檢測威脅。通過實(shí)施云原生 SIEM 或增強(qiáng)本地系統(tǒng)來優(yōu)化此功能，為擴(kuò)展安全工作奠定了數(shù)字基礎(chǔ)。

通過升級的 SIEM 獲得安全警報(bào)和事件的高保真視圖，組織可以獲得識(shí)別和響應(yīng)網(wǎng)絡(luò)風(fēng)險(xiǎn)（無論來源如何）所需的可見性和上下文。優(yōu)先考慮改進(jìn)可以加速將孤立的安全實(shí)踐轉(zhuǎn)變?yōu)榧傻摹⒅悄茯?qū)動(dòng)的功能，以應(yīng)對當(dāng)前和新興的挑戰(zhàn)。

開放防御：尋找隱藏在“安全數(shù)據(jù)大海撈針”中的真正“威脅針”

數(shù)據(jù)爆炸增加了攻擊面——這是一個(gè)最顯著的副作用，會(huì)產(chǎn)生代價(jià)高昂的連鎖反應(yīng)。更多數(shù)據(jù)。更多警報(bào)。需要更多時(shí)間來篩選警報(bào)。

SIEM 在分析這些數(shù)據(jù)方面發(fā)揮著關(guān)鍵作用，但是，將如此大量的數(shù)據(jù)發(fā)送到 SIEM 進(jìn)行分析的現(xiàn)實(shí)變得越來越具有挑戰(zhàn)性，尤其是跨多個(gè)云。在某些情況下，發(fā)送所有數(shù)據(jù)是不必要的。隨著云以及云中身份和數(shù)據(jù)安全工具的發(fā)展，通常只需要從這些系統(tǒng)收集警報(bào)并將其導(dǎo)入到SIEM，而不是攝取所有數(shù)據(jù)。

當(dāng)今的 SIEM 應(yīng)圍繞開放標(biāo)準(zhǔn)和技術(shù)進(jìn)行設(shè)計(jì)，以便它們可以輕松地僅收集關(guān)鍵見解，同時(shí)仍然為安全團(tuán)隊(duì)提供在需要時(shí)訪問底層遙測數(shù)據(jù)的權(quán)限。

在許多情況下，不需要進(jìn)行此類檢測；在其他情況下，安全團(tuán)隊(duì)只需要收集數(shù)據(jù)即可進(jìn)行進(jìn)一步的特定威脅分析。在這些情況下，具有實(shí)時(shí)數(shù)據(jù)收集、專為分析云規(guī)模數(shù)據(jù)而設(shè)計(jì)的數(shù)據(jù)倉庫功能、針對實(shí)時(shí)分析和亞秒級搜索時(shí)間進(jìn)行優(yōu)化的 SIEM 就是解決方案。組織需要訪問本地和云中的數(shù)據(jù)，而無需處理供應(yīng)商和數(shù)據(jù)鎖定。

這種開放式 SIEM 方法可幫助組織利用數(shù)據(jù)湖、日志平臺(tái)和檢測技術(shù)方面的現(xiàn)有投資。它還確保組織在安全基礎(chǔ)設(shè)施成熟時(shí)能夠靈活地選擇正確的數(shù)據(jù)保留和安全工具。

但是，提高數(shù)據(jù)可見性只是解決方案的一部分。安全團(tuán)隊(duì)需要準(zhǔn)確且最新的檢測邏輯來發(fā)現(xiàn)威脅，因?yàn)榘踩珗F(tuán)隊(duì)目前在及時(shí)檢測威脅的技能方面面臨挑戰(zhàn)。結(jié)合定期更新的威脅情報(bào)使分析師能夠加快威脅檢測速度。而且，利用 SIGMA 等通用、共享的檢測規(guī)則語言，隨著威脅的發(fā)展，客戶可以快速導(dǎo)入直接從安全社區(qū)眾包的新的、經(jīng)過驗(yàn)證的檢測。

人工智能和自動(dòng)化加速威脅檢測和響應(yīng)

大多數(shù)組織都在 SIEM 或其他威脅檢測技術(shù)（例如 EDR 中檢測惡意行為，但事實(shí)上，SOC 專業(yè)人員可以根據(jù)最近的全球調(diào)查，他們在一個(gè)典型工作日內(nèi)應(yīng)該查看的警報(bào)不到一半 (49%)。利用自動(dòng)化和人工智能可確保建議和見解的透明度和來源，從而幫助安全團(tuán)隊(duì)解決高優(yōu)先級警報(bào)并交付預(yù)期結(jié)果。

為此，SIEM 需要采用基于風(fēng)險(xiǎn)的創(chuàng)新分析以及由圖形分析、威脅情報(bào)和洞察、聯(lián)合搜索和人工智能提供支持的自動(dòng)調(diào)查。有效的 SIEM 平臺(tái)必須利用人工智能來增強(qiáng)人類認(rèn)知。自調(diào)整功能可減少嘈雜的警報(bào)，將分析師的注意力集中在最需要的地方。虛擬協(xié)助可以幫助處理例行分類，使安全專家能夠?qū)嵤?zhàn)略計(jì)劃，而強(qiáng)大的機(jī)器學(xué)習(xí)模型可以發(fā)現(xiàn)基于規(guī)則的系統(tǒng)隱藏的攻擊模式和事件錯(cuò)過。一些最先進(jìn)的 SIEM 豐富并關(guān)聯(lián)了整個(gè)組織環(huán)境中的發(fā)現(xiàn)，因此分析會(huì)自動(dòng)集中于最重要的攻擊。</span>

為了與安全團(tuán)隊(duì)建立所需的信任，SIEM 需要在其建議和見解中提供透明度和來源。通過將可解釋性納入每次評估的方式中，安全分析師可以有信心信任建議，并針對環(huán)境中的威脅更快、更果斷地采取行動(dòng)。

供應(yīng)商在開發(fā)當(dāng)今的 SIEM 時(shí)需要考慮的另一個(gè)方面是將決策和響應(yīng)操作轉(zhuǎn)移給由響應(yīng)者執(zhí)行初始警報(bào)分析的分析師。在許多情況下，他們希望在風(fēng)險(xiǎn)平衡適合組織的情況下實(shí)現(xiàn)完全自動(dòng)化。傳統(tǒng)上，此類流程和決策是在單獨(dú)的SOAR 系統(tǒng)中進(jìn)行適當(dāng)協(xié)調(diào)和定制的，在某些情況下是與不同的團(tuán)隊(duì)進(jìn)行協(xié)調(diào)和定制的。今天的 SIEM 需要能夠?qū)崿F(xiàn)更敏捷的左移，以將完整的 SOAR 功能納入 SIEM 工作流程和 UX 中。這種方法使組織能夠根據(jù)風(fēng)險(xiǎn)平衡幾乎完全自動(dòng)化響應(yīng)流程，并在需要時(shí)將安全團(tuán)隊(duì)引入流程以驗(yàn)證建議的操作。

從以工具為中心的防御演變?yōu)橐苑治鋈藛T為中心的防御

早期的 SIEM 平臺(tái)以收集和關(guān)聯(lián)大量安全數(shù)據(jù)為中心。這些第一代系統(tǒng)在日志聚合方面表現(xiàn)出色，但由于大量警報(bào)充斥著誤報(bào)，使分析人員負(fù)擔(dān)過重。為了跟上步伐，團(tuán)隊(duì)添加了新工具來管理事件、跟蹤威脅和自動(dòng)化任務(wù)。但這種技術(shù)驅(qū)動(dòng)的方法創(chuàng)造了復(fù)雜、分散的環(huán)境，降低了生產(chǎn)力。

現(xiàn)代 SIEM 解決方案將重點(diǎn)轉(zhuǎn)移到人類分析師在整個(gè)威脅生命周期的體驗(yàn)上。下一代平臺(tái)不是產(chǎn)生更多數(shù)據(jù)點(diǎn)，而是利用人工智能在噪音中尋找信號。基于云的分析可以發(fā)現(xiàn)難以識(shí)別的攻擊模式，以提供預(yù)測功能并豐富整個(gè)組織環(huán)境中的發(fā)現(xiàn)結(jié)果，以便分析師可以專注于最重要的攻擊。為了在分析師工作流程中有效地工作，開放式架構(gòu)和集成系統(tǒng)可見性必須嵌入到每個(gè) SIEM 中。

在現(xiàn)代 SIEM 的例子中，工具和技術(shù)是為分析師服務(wù)的，而不是相反。