隨著組織對其 IT 基礎(chǔ)設(shè)施進行現(xiàn)代化改造并增加云服務(wù)的采用，安全團隊在人員配置、預算和技術(shù)方面面臨著新的挑戰(zhàn)。為了跟上步伐，安全計劃必須不斷發(fā)展，以保護現(xiàn)代 IT 環(huán)境，利用有限的資源抵御快速發(fā)展的威脅。這需要重新思考傳統(tǒng)的安全策略，并將投資重點放在云安全、人工智能驅(qū)動的防御和技能開發(fā)等能力上。前進的道路要求安全團隊在技術(shù)和網(wǎng)絡(luò)風險的變化中保持敏捷、創(chuàng)新和戰(zhàn)略性。

為了滿足這些安全需求，安全團隊必須重點關(guān)注三個關(guān)鍵轉(zhuǎn)型：

1. 從封閉的供應(yīng)商生態(tài)系統(tǒng)演變?yōu)殚_放、協(xié)作、社區(qū)驅(qū)動的防御
2. 通過人工智能和自動化擴展安全專業(yè)知識
3. 從以工具為中心的防御演變?yōu)橐苑治鰩煘閯恿Φ慕Y(jié)果

實現(xiàn)安全運營計劃現(xiàn)代化最有效的步驟之一是升級核心 SIEM 平臺。作為 SOC 團隊的中樞神經(jīng)系統(tǒng)，SIEM 收集、關(guān)聯(lián)和分析整個 IT 環(huán)境中的數(shù)據(jù)以檢測威脅。通過實施云原生 SIEM 或增強本地系統(tǒng)來優(yōu)化此功能，為擴展安全工作奠定了數(shù)字基礎(chǔ)。

通過升級的 SIEM 獲得安全警報和事件的高保真視圖，組織可以獲得識別和響應(yīng)網(wǎng)絡(luò)風險（無論來源如何）所需的可見性和上下文。優(yōu)先考慮改進可以加速將孤立的安全實踐轉(zhuǎn)變?yōu)榧傻?、智能?qū)動的功能，以應(yīng)對當前和新興的挑戰(zhàn)。

開放防御：尋找隱藏在“安全數(shù)據(jù)大海撈針”中的真正“威脅針”

數(shù)據(jù)爆炸增加了攻擊面——這是一個最顯著的副作用，會產(chǎn)生代價高昂的連鎖反應(yīng)。更多數(shù)據(jù)。更多警報。需要更多時間來篩選警報。

SIEM 在分析這些數(shù)據(jù)方面發(fā)揮著關(guān)鍵作用，但是，將如此大量的數(shù)據(jù)發(fā)送到 SIEM 進行分析的現(xiàn)實變得越來越具有挑戰(zhàn)性，尤其是跨多個云。在某些情況下，發(fā)送所有數(shù)據(jù)是不必要的。隨著云以及云中身份和數(shù)據(jù)安全工具的發(fā)展，通常只需要從這些系統(tǒng)收集警報并將其導入到SIEM，而不是攝取所有數(shù)據(jù)。

當今的 SIEM 應(yīng)圍繞開放標準和技術(shù)進行設(shè)計，以便它們可以輕松地僅收集關(guān)鍵見解，同時仍然為安全團隊提供在需要時訪問底層遙測數(shù)據(jù)的權(quán)限。

在許多情況下，不需要進行此類檢測；在其他情況下，安全團隊只需要收集數(shù)據(jù)即可進行進一步的特定威脅分析。在這些情況下，具有實時數(shù)據(jù)收集、專為分析云規(guī)模數(shù)據(jù)而設(shè)計的數(shù)據(jù)倉庫功能、針對實時分析和亞秒級搜索時間進行優(yōu)化的 SIEM 就是解決方案。組織需要訪問本地和云中的數(shù)據(jù)，而無需處理供應(yīng)商和數(shù)據(jù)鎖定。

這種開放式 SIEM 方法可幫助組織利用數(shù)據(jù)湖、日志平臺和檢測技術(shù)方面的現(xiàn)有投資。它還確保組織在安全基礎(chǔ)設(shè)施成熟時能夠靈活地選擇正確的數(shù)據(jù)保留和安全工具。

但是，提高數(shù)據(jù)可見性只是解決方案的一部分。安全團隊需要準確且最新的檢測邏輯來發(fā)現(xiàn)威脅，因為安全團隊目前在及時檢測威脅的技能方面面臨挑戰(zhàn)。結(jié)合定期更新的威脅情報使分析師能夠加快威脅檢測速度。而且，利用 SIGMA 等通用、共享的檢測規(guī)則語言，隨著威脅的發(fā)展，客戶可以快速導入直接從安全社區(qū)眾包的新的、經(jīng)過驗證的檢測。

人工智能和自動化加速威脅檢測和響應(yīng)

大多數(shù)組織都在 SIEM 或其他威脅檢測技術(shù)（例如 EDR 中檢測惡意行為，但事實上，SOC 專業(yè)人員可以根據(jù)最近的全球調(diào)查，他們在一個典型工作日內(nèi)應(yīng)該查看的警報不到一半 (49%)。利用自動化和人工智能可確保建議和見解的透明度和來源，從而幫助安全團隊解決高優(yōu)先級警報并交付預期結(jié)果。

為此，SIEM 需要采用基于風險的創(chuàng)新分析以及由圖形分析、威脅情報和洞察、聯(lián)合搜索和人工智能提供支持的自動調(diào)查。有效的 SIEM 平臺必須利用人工智能來增強人類認知。自調(diào)整功能可減少嘈雜的警報，將分析師的注意力集中在最需要的地方。虛擬協(xié)助可以幫助處理例行分類，使安全專家能夠?qū)嵤?zhàn)略計劃，而強大的機器學習模型可以發(fā)現(xiàn)基于規(guī)則的系統(tǒng)隱藏的攻擊模式和事件錯過。一些最先進的 SIEM 豐富并關(guān)聯(lián)了整個組織環(huán)境中的發(fā)現(xiàn)，因此分析會自動集中于最重要的攻擊。</span>

為了與安全團隊建立所需的信任，SIEM 需要在其建議和見解中提供透明度和來源。通過將可解釋性納入每次評估的方式中，安全分析師可以有信心信任建議，并針對環(huán)境中的威脅更快、更果斷地采取行動。

供應(yīng)商在開發(fā)當今的 SIEM 時需要考慮的另一個方面是將決策和響應(yīng)操作轉(zhuǎn)移給由響應(yīng)者執(zhí)行初始警報分析的分析師。在許多情況下，他們希望在風險平衡適合組織的情況下實現(xiàn)完全自動化。傳統(tǒng)上，此類流程和決策是在單獨的SOAR 系統(tǒng)中進行適當協(xié)調(diào)和定制的，在某些情況下是與不同的團隊進行協(xié)調(diào)和定制的。今天的 SIEM 需要能夠?qū)崿F(xiàn)更敏捷的左移，以將完整的 SOAR 功能納入 SIEM 工作流程和 UX 中。這種方法使組織能夠根據(jù)風險平衡幾乎完全自動化響應(yīng)流程，并在需要時將安全團隊引入流程以驗證建議的操作。

從以工具為中心的防御演變?yōu)橐苑治鋈藛T為中心的防御

早期的 SIEM 平臺以收集和關(guān)聯(lián)大量安全數(shù)據(jù)為中心。這些第一代系統(tǒng)在日志聚合方面表現(xiàn)出色，但由于大量警報充斥著誤報，使分析人員負擔過重。為了跟上步伐，團隊添加了新工具來管理事件、跟蹤威脅和自動化任務(wù)。但這種技術(shù)驅(qū)動的方法創(chuàng)造了復雜、分散的環(huán)境，降低了生產(chǎn)力。

現(xiàn)代 SIEM 解決方案將重點轉(zhuǎn)移到人類分析師在整個威脅生命周期的體驗上。下一代平臺不是產(chǎn)生更多數(shù)據(jù)點，而是利用人工智能在噪音中尋找信號。基于云的分析可以發(fā)現(xiàn)難以識別的攻擊模式，以提供預測功能并豐富整個組織環(huán)境中的發(fā)現(xiàn)結(jié)果，以便分析師可以專注于最重要的攻擊。為了在分析師工作流程中有效地工作，開放式架構(gòu)和集成系統(tǒng)可見性必須嵌入到每個 SIEM 中。

在現(xiàn)代 SIEM 的例子中，工具和技術(shù)是為分析師服務(wù)的，而不是相反。