近段时间,网安信安全团队就针对远程安全运维和云计算创建现代SIEM安全策略进行了深入探讨,发现当下不断变化的安全格局对安全信息和事件管理(SIEM)具有很大实践意义,将能积极推动SIEM继续发展。
在过去16年的发展过程中,SIEM已完美结合了安全信息管理(SIM)和安全事件管理(SEM),并且在任何一个时间段内,SIEM的发展都直接与当时的市场需求和威胁驱动紧密相关。
在早期,SIEM更多的受到当时处于主导地位的各种合规性政策或标准的影响,例如PCI或HIPAA。而近年来,SIEM已趋向于与各应用平台的融合,加速针对越来越复杂的勒索病毒和恶意软件的威胁检测。
随着远程工作,云计算和其他数字化技术的加速发展,SIEM越来越被人们所关注,因为几乎所有企业都在寻找这种具有更强可扩展性和自动化性的安全运维与防护策略。
高超的可扩展性让SIEM完美兼容任何模式
现代安全威胁的不断演变让快速响应和自动化处理的安全需求越来越强烈,人工智能,机器学习,高级分析,自动检测异常行为,快速的应急响应时间,实时且主动的阻止对企业的任何潜在攻击和安全威胁。
除了使用AI和机器学习来获得更好的关联和警报之外,SIEM高超的可扩展性可以让它与任何平台兼容,从具备更丰富的威胁检测元素,实现对电子邮件,云资源,应用程序,外部威胁情报源和端点的监控,这可以对用户的操作行为进行监控分析(UEBA)等。除UEBA外,SIEM还可以与监测响应(XDR)和自动化响应(SOAR)兼容,从而让SIEM拥有更多的可见性和灵活性。
SIEM是现代企业安全运维最理想的选择
SIEM的基本原理是使用分析引擎将安全事件与企业的安全策略进行有效匹配,通过对企业所有安全数据和事件建立索引进行亚秒级自动化检索,与在全球范围内收集的威胁情报进行比对分析,从而快速检测和分辨潜在的高级威胁。
当SIEM通过网络安全监控识别到威胁时,它将自动生成警报并根据预定的规则定义威胁级别。例如,如果某人试图在10分钟内登录10次,这可能被认为是正常的,但他如果尝试在10分钟内登录100次则有可能会被标记为恶意行为。
如今,企业的IT资产的架构和形态可谓是越来越复杂,例如目前比较热门的IPFS行业,资产数量庞大且分散,资产种类多样,内网和外网架构并用,各种云服务器采用率也在不断上升,企业运维人员普遍采用远程工作等等, 这使得SIEM的作用变得更加突出,因为它能帮助企业的运维人员实现集中式了解自身IT环境中的安全策略和信息。通过SIEM,企业的运维人员能轻松进行安全数据分析、安全事件关联、聚合、报告和日志管理等。
警报疲劳对企业运维人员提出严重挑战
尽管SIEM对企业安全运维具有诸多好处,但并不是所有企业都有能力部署、维护和管理SIEM,因为SIEM的特点就是持续高效的自动化处理,每天会自动收集企业整个IT环境中的所有安全事件和信息,不仅数据量庞大,安全告警也会比较频繁。
根据2020年SecOps给出的自动化状态调查报告显示,目前虽然有92%的企业都希望通过自动化处理来解决日常的安全运维工作,但只有65%的企业使用了部分自动化的警报处理,其中有75%的企业还额外聘请了至少三名专门的安全分析师来处理当天产生所有警报。
这无疑给企业运维人员带来了很多额外的工作和负担,所以说,如果企业不能确保对所有操作行为和威胁情报进行有效分析,就不要轻易部署SIEM,否则,就会适得其反,很容出现警报疲劳,这将大大降低检测漏洞和其他针对性攻击的成功率。
一个有效的SIEM解决方案必将要求企业管理足够多的数据源,也就是必须在所有IT资源中进行部署,由此产生的安全数据将是一个天文数字,为避免出现漏报情况,必须辅以人工分析才能最大化确保企业资产安全,但安全数据分析具有很高的专业要求,且这类人才严重缺乏,因此,企业可以选择具有部署、运维和管理SIEM的第三方供应商提供的解决方案,这样,企业的运维人员就不会被迫成为SIEM专家。
来源:freebuf.com 2021-05-24 17:31:23 by: 网安信科技wax
请登录后发表评论
注册