安全信息事件管理(SIEM)系統(tǒng)的應用已經(jīng)超過20年，在很多企業(yè)組織，它都是安全管理人員日常處理威脅事件的優(yōu)先選項。但是，在過去的五年中，網(wǎng)絡攻擊變得越來越隱秘、手段越來越復雜、影響越來越大，因此，基于傳統(tǒng)特征碼的檢測技術也需要不斷向機器學習技術演進，并從單一的威脅檢測轉變?yōu)闄z測加響應的聯(lián)合解決方案。

在此背景下，傳統(tǒng)SIEM系統(tǒng)由于存在難以實現(xiàn)精準告警、漏報較為嚴重等問題，已不是企業(yè)安全運營管理的理想選擇，但這并不意味著需要淘汰它。作為企業(yè)內(nèi)部安全日志的匯聚器，SIEM的基本功能或許永遠不會過時，因為本地安全日志始終是最具價值的威脅情報來源。但安全團隊需要盡快升級優(yōu)化SIEM，配合更多的威脅檢測/響應、調(diào)查/查詢、威脅情報分析以及流程自動化/編排等先進安全能力，以實現(xiàn)更加高效、準確的發(fā)現(xiàn)、檢測和響應安全威脅。

安全專家總結整理了目前SIEM系統(tǒng)的5大應用挑戰(zhàn)與解決方法，以幫助企業(yè)更好地開展安全運營感知工作。

挑戰(zhàn)一：原始數(shù)據(jù)量多，噪音太大

解決方案：數(shù)據(jù)自動化處理，消除“誤報”

從理論上講，更多的數(shù)據(jù)應該可以提供更好的洞察力，但這也容易淹沒有價值的信號。問題不在于我們沒有足夠的數(shù)據(jù)，而在于我們有太多的非重要報警和誤報數(shù)據(jù)!

當今，SIEM技術已跟不上安全團隊收集和生成的海量數(shù)據(jù)。它不僅會錯過大量的安全威脅，而且還會產(chǎn)生較多誤報。重要報警與非重要報警或者誤報同時大量出現(xiàn)時，會導致重要報警數(shù)據(jù)淹沒在海量的誤報及非重要報警中，無法立即響應真實報警。

想象一下，當安全分析師查看200個警報，卻發(fā)現(xiàn)只有4、5個警報是重要報警，那會有多崩潰!“檢測”和“響應”之間，最重要的環(huán)節(jié)就是分類和處理報警數(shù)據(jù)。人工智能可以比任何分析師更快地處理數(shù)據(jù)——并且可以7X24小時全天候工作?？梢詫?5分鐘的檢測過程縮短到幾秒鐘，并生成一份完整的事件分析報告，以便企業(yè)的團隊可以在人工響應時查看。

挑戰(zhàn)二：過時的、基于規(guī)則的識別技術

解決方案：智能化自動檢測技術

SIEM落后的另一個原因是因為它們是基于特征碼規(guī)則檢測。盡管業(yè)界對它已經(jīng)進行了改進和升級，但還是無法跟上大數(shù)據(jù)問題。

試圖使用簡單的、基于規(guī)則的技術來有效地進行威脅檢測肯定會失敗。當然，如果系統(tǒng)識別出它之前遇到的威脅，并且完全相同的威脅以同樣的方式“殺回”，你確實會收到警報。但是，現(xiàn)實世界的大多數(shù)威脅并非如此。許多團隊甚至發(fā)現(xiàn)，與SIEM相比，經(jīng)驗豐富的安全分析師或技術工程師能夠檢測到更多的未知威脅。

在過去幾年里，先進的機器學習已經(jīng)成為一種可替代方案，但是SIEM在人工智能技術應用上目前尚處于起步階段。

挑戰(zhàn)三：弱檢測，無響應

解決方案：將檢測和響應由一個平臺自動化實現(xiàn)

SIEM一直存在“弱檢測，無響應”的問題，它們甚至從未打算做響應功能。但有效的警報分類需要兩者(檢測和響應)之間相互作用。企業(yè)可以通過兩種方式解決該問題：

• 通過添加另一種技術來對抗產(chǎn)生許多誤報的嘈雜系統(tǒng);
• 查詢和分析為什么檢測技術會產(chǎn)生如此多的警報和誤報。

通過智能自動化，分析人員可以將他們的分類過程編碼到檢測引擎中，然后讓機器來執(zhí)行，將檢測和響應視為兩個孤立部分是不正確的。我們應該將檢測和響應視為同一過程的兩個階段。

挑戰(zhàn)四：SIEM系統(tǒng)不會“學習”

解決方案：機器學習可以通過不斷學習變得更好

在大多數(shù)情況下，SIEM不會機器學習或很少使用機器學習算法，這不利于高效安全運營工作的開展。現(xiàn)在，想象一下，你可以為每一位安全分析師和工程師雇傭10名“助手”，并且這些“助手”可以不斷學習、完全可定制、自動執(zhí)行任務，而且速度比人類快10倍、100倍甚至1000倍，并且7X24全天候運行，這是一種怎樣的場景？

實踐已經(jīng)證明，企業(yè)安全運營中心(SOC)可以在機器學習技術的幫助下，更有效地檢測、分析和響應海量數(shù)據(jù)，更關鍵的是，速度要比任何人都快約1000倍。這就意味著安全團隊可以騰出時間專注于只有他們能勝任的高級工作，例如一些難以或不可能自動化處理的任務，或者需要對行業(yè)和企業(yè)具有深刻且人性化理解的事情。

挑戰(zhàn)五：SIEM系統(tǒng)應用成本太高

解決方案：經(jīng)濟實惠、靈活的自動化選項

有調(diào)查顯示，有32%的安全專家表示SIEM運營需要大量的人員培訓和經(jīng)驗，而21%的人認為SIEM需要不斷調(diào)優(yōu)并消耗大量運營資源才能發(fā)揮作用。這就是為什么許多企業(yè)的安全團隊必須做出艱難的決定，決定他們可以將多少(以及哪些類型的)數(shù)據(jù)提取到SIEM中進行分析。其余的數(shù)據(jù)只能存儲在沒有處理能力的系統(tǒng)中，無法處理、分析和提取有關威脅的寶貴見解，即便是明顯的攻擊跡象(類似Log4j事件)有時也會被忽略。這會帶來巨大的安全風險。

鑒于SIEM的應用成本差異，企業(yè)組織可以根據(jù)自身的需求，選用更好、更具成本效益的技術解決方案。智能自動化可以實現(xiàn)高度檢測和響應，價格合理、透明，可以針對每個組織的業(yè)務需求進行定制。這對于很多中小企業(yè)、初創(chuàng)公司和非營利組織來說，會更加適合一些。

原文鏈接：

• https://www.logichub.com/blog/goodbye-lonely-siem-hello-mdr
• https://www.logichub.com/hubfs/2022%20ebook_%20Five%20Easy%20Steps%20to%20Replace%20Your%20SIEM.pdf