在很多企業(yè)中，SIEM（安全信息和事件管理）已經(jīng)成為安全團隊日常處理威脅事件的必備工具，但這項曾被視為網(wǎng)絡(luò)安全“瑞士軍刀”的技術(shù)如今卻備受質(zhì)疑。

近日，安全研究機構(gòu)CardinalOps發(fā)布了第四版《SIEM安全風(fēng)險檢測年度報告》，報告收集分析了來自Splunk、Microsoft Sentinel、IBM QRadar和Sumo Logic等行業(yè)主流廠商的SIEM系統(tǒng)真實應(yīng)用數(shù)據(jù)，并使用MITRE ATT&CK技術(shù)對這些SIEM系統(tǒng)的實時威脅分析檢測能力進行了測試。

實際測試結(jié)果顯示，雖然這些SIEM系統(tǒng)能夠提供組織日常安全運營所需的87%數(shù)據(jù)信息，但在實時檢測攻擊威脅方面的表現(xiàn)卻非常不容樂觀。在本次所測試的各款SIEM系統(tǒng)中，最多僅能實時檢測到最新MITRE ATT&CK框架涵蓋的201種攻擊技術(shù)中的38種，整體檢出率占比為19%。更令人擔(dān)憂的是，由于SIEM系統(tǒng)配置的復(fù)雜性，18%的SIEM規(guī)則會因為錯誤配置的數(shù)據(jù)源和缺少字段等常見問題而變得形同虛設(shè)，這進一步限制了SIEM的威脅監(jiān)測能力。

CardinalOps首席技術(shù)官兼聯(lián)合創(chuàng)始人Yair Manor表示：“今年的研究揭示了一個缺口，那就是企業(yè)組織仍然希望努力利用SIEM系統(tǒng)最大限度地建立和維持有效的威脅檢測能力，而實際上SIEM系統(tǒng)卻在發(fā)現(xiàn)攻擊方面充滿了困難和挑戰(zhàn)，這可能讓企業(yè)處于巨大的風(fēng)險之中?！?/p>

1.難以檢測新型高級攻擊向量

SIEM的構(gòu)建初衷是檢測“已知的惡意行為”，例如MITRE ATT&CK中定義的技術(shù)。雖然在MITRE ATT&CK （v14）框架中列出了201種攻擊技術(shù)，但試圖通過配置SIEM來檢出所有這些威脅是不現(xiàn)實的。

網(wǎng)絡(luò)犯罪分子也了解到SIEM的不足，迅速轉(zhuǎn)向使用被盜憑據(jù)、特權(quán)升級、錯誤配置、網(wǎng)絡(luò)釣魚和薄弱的安全意識缺口作為他們的攻擊媒介。在此情況下，SIEM的威脅防護作用將大打折扣，因為SIEM從一開始就不是為處理這些問題而構(gòu)建的。

SIEM在設(shè)計時并沒有考慮到這一點，現(xiàn)在行業(yè)中已經(jīng)有更先進的方法來應(yīng)對這些新威脅，包括安全態(tài)勢管理、可擴展威脅檢測和響應(yīng)、攻擊面管理以及跨身份基礎(chǔ)設(shè)施構(gòu)建更完整的可見性等，以更有效地發(fā)現(xiàn)風(fēng)險，甚至潛在的未知安全問題。

2.應(yīng)用成本居高不下

SIEM的應(yīng)用成本取決于組織的IT基礎(chǔ)設(shè)施分布應(yīng)用情況和實際安全運營需求。很多中小型企業(yè)的年度整體安全預(yù)算支出僅為50-100萬美元左右，這將難以支撐SIEM系統(tǒng)的有效運營要求。在本次報告中，也特別分析了企業(yè)組織有效運營SIEM系統(tǒng)必須投入的人力、時間和金錢資源。

報告發(fā)現(xiàn)，主流SIEM廠商仍然將其產(chǎn)品定位在服務(wù)大公司、跨國機構(gòu)和政府部門客戶定制化使用的高級安全工具，通常在組織內(nèi)部部署，系統(tǒng)運營工作需要組織自己的安全團隊負責(zé)。

研究人員用《加州旅館》（Hotel California）的歌詞對SIEM的應(yīng)用成本情況進行了描述，“你可以隨時退房，但你永遠無法離開。”報告稱，約40%的受訪組織表示，考慮到SIEM系統(tǒng)運營的高技術(shù)保障要求，它們難以承擔(dān)SIEM系統(tǒng)的運營費用。

報告認為，如果沒有7*24的安全運營能力支持，組織將無法處理和應(yīng)對SIEM應(yīng)用中的復(fù)雜性，實際應(yīng)用效果并會不好。而大型企業(yè)組織往往需要每年投入100萬美元以上的運營維護費用，才能持續(xù)對SEIM能力進行優(yōu)化，并獲得有效的使用效果。

報告還認為，很多組織在實際使用SIEM系統(tǒng)時，要么部署不當(dāng)，要么缺乏及時更新的管理資源。此外，SIEM通常不能很好地集成到組織現(xiàn)有的網(wǎng)絡(luò)安全體系中，從而導(dǎo)致其應(yīng)用性能難以充分發(fā)揮。

3.缺乏對云的可見性

Exabeam和IDC在今年1月聯(lián)合發(fā)布的一份報告中指出，全球的企業(yè)組織目前僅能可視化或監(jiān)控其66%的IT應(yīng)用環(huán)境。Exabeam首席執(zhí)行官Adam Geller表示，目前SIEM工具所能提供的數(shù)據(jù)覆蓋度，和針對MITRE ATT&CK框架下攻擊技術(shù)的檢測要求之間是“矛盾的”。為了更有效地檢測、調(diào)查和應(yīng)對當(dāng)今的主要威脅，SIEM系統(tǒng)必須擁有對云原生基礎(chǔ)設(shè)施及其中應(yīng)用的數(shù)據(jù)采集和監(jiān)控能力。

Geller認為，SEIM的實際威脅檢出率低并不是說SIEM技術(shù)正在被淘汰，而是許多傳統(tǒng)SIEM系統(tǒng)的應(yīng)用模式仍然是本地化運行，這種方式不能提供一個全面的視圖來理解數(shù)據(jù)，或充分保護組織。

缺乏對云的可見性意味著安全團隊對這些環(huán)境中的任何應(yīng)用發(fā)展都視而不見，從而導(dǎo)致SIEM的威脅監(jiān)測效率低下。

4.噪音干擾仍然嚴重

噪音問題一直是SIEM應(yīng)用的主要挑戰(zhàn)之一。今年的報告研究再次表明，企業(yè)安全團隊需要花費約25%到70%的工作時間來處理SIEM系統(tǒng)的誤報和噪音煩擾，它不僅會消耗企業(yè)有限的安全資源，還會導(dǎo)致精力耗盡和警覺性疲勞。

《Sophos2023年網(wǎng)絡(luò)安全狀況報告》也發(fā)現(xiàn)，超過90%的組織認為威脅搜尋是一項挑戰(zhàn)。絕大多數(shù)（71%）的組織在試圖理解需要調(diào)查哪些信號或警報時存在重大問題。同樣比例的受訪者表示，他們在優(yōu)先考慮調(diào)查方面遇到了挑戰(zhàn)。

人手不足的安全團隊和高水平的背景噪音使基本的SIEM應(yīng)用成為一場噩夢，大公司每天都會收到數(shù)千條警報。

身份和訪問安全公司BeyondTrust的首席安全策略師Chris Hills表示，SIEM應(yīng)用中一直無法有效解決的難題就是如何應(yīng)對噪音。Hills表示，“與EDR解決方案類似，SIEM在噪聲方面沒有什么不同，我所說的噪聲是指誤報的數(shù)據(jù)量和警報。當(dāng)分析師試圖確定真正的風(fēng)險時，這就形成了‘大海撈針’的效果?！?/p>

結(jié)語

每一個閃亮的安全工具都會經(jīng)歷一個生命周期，從解決組織關(guān)注的問題到被更好的營銷新產(chǎn)品所淘汰。從這一點上看，報告認為SIEM已經(jīng)處于其生命周期的后半段，主要原因包括：

• SIEM是資源密集型的，組織必須配置正確的日志源，編寫正確的規(guī)則，并對數(shù)據(jù)進行后處理（post-processing），從它觸發(fā)的警報中收集任何有用的東西，然后采取行動響應(yīng)觸發(fā)的警報。 
• 就有用性而言，SIEM系統(tǒng)往往會成為一種數(shù)字化的障礙而不是幫助，有時它們只是合規(guī)性方面的一個復(fù)選框，除了作為構(gòu)建其他層以確保環(huán)境安全的基礎(chǔ)之外，實際上沒有做更多有用的事情。

在此背景下，傳統(tǒng)的SIEM應(yīng)用模式走向失敗并不令人震驚。作為一種獨立應(yīng)用的工具，SIEM或許很快就會消失在現(xiàn)代網(wǎng)絡(luò)安全技術(shù)創(chuàng)新和發(fā)展的復(fù)雜趨勢中。但是SIEM技術(shù)仍會以新的方式獲得應(yīng)用的動力，例如作為一種安全能力融入到SASE服務(wù)、SOAR、MDR、XDR、暗網(wǎng)監(jiān)控和其他新技術(shù)應(yīng)用中。

原文鏈接：https://www.techopedia.com/do-siems-the-swiss-knife-of-cybersecurity-do-the-job