在很多企業(yè)中，SIEM（安全信息和事件管理）已經(jīng)成為安全團(tuán)隊(duì)日常處理威脅事件的必備工具，但這項(xiàng)曾被視為網(wǎng)絡(luò)安全“瑞士軍刀”的技術(shù)如今卻備受質(zhì)疑。

近日，安全研究機(jī)構(gòu)CardinalOps發(fā)布了第四版《SIEM安全風(fēng)險(xiǎn)檢測(cè)年度報(bào)告》，報(bào)告收集分析了來自Splunk、Microsoft Sentinel、IBM QRadar和Sumo Logic等行業(yè)主流廠商的SIEM系統(tǒng)真實(shí)應(yīng)用數(shù)據(jù)，并使用MITRE ATT&CK技術(shù)對(duì)這些SIEM系統(tǒng)的實(shí)時(shí)威脅分析檢測(cè)能力進(jìn)行了測(cè)試。

實(shí)際測(cè)試結(jié)果顯示，雖然這些SIEM系統(tǒng)能夠提供組織日常安全運(yùn)營(yíng)所需的87%數(shù)據(jù)信息，但在實(shí)時(shí)檢測(cè)攻擊威脅方面的表現(xiàn)卻非常不容樂觀。在本次所測(cè)試的各款SIEM系統(tǒng)中，最多僅能實(shí)時(shí)檢測(cè)到最新MITRE ATT&CK框架涵蓋的201種攻擊技術(shù)中的38種，整體檢出率占比為19%。更令人擔(dān)憂的是，由于SIEM系統(tǒng)配置的復(fù)雜性，18%的SIEM規(guī)則會(huì)因?yàn)殄e(cuò)誤配置的數(shù)據(jù)源和缺少字段等常見問題而變得形同虛設(shè)，這進(jìn)一步限制了SIEM的威脅監(jiān)測(cè)能力。

CardinalOps首席技術(shù)官兼聯(lián)合創(chuàng)始人Yair Manor表示：“今年的研究揭示了一個(gè)缺口，那就是企業(yè)組織仍然希望努力利用SIEM系統(tǒng)最大限度地建立和維持有效的威脅檢測(cè)能力，而實(shí)際上SIEM系統(tǒng)卻在發(fā)現(xiàn)攻擊方面充滿了困難和挑戰(zhàn)，這可能讓企業(yè)處于巨大的風(fēng)險(xiǎn)之中?！?/p>

1.難以檢測(cè)新型高級(jí)攻擊向量

SIEM的構(gòu)建初衷是檢測(cè)“已知的惡意行為”，例如MITRE ATT&CK中定義的技術(shù)。雖然在MITRE ATT&CK （v14）框架中列出了201種攻擊技術(shù)，但試圖通過配置SIEM來檢出所有這些威脅是不現(xiàn)實(shí)的。

網(wǎng)絡(luò)犯罪分子也了解到SIEM的不足，迅速轉(zhuǎn)向使用被盜憑據(jù)、特權(quán)升級(jí)、錯(cuò)誤配置、網(wǎng)絡(luò)釣魚和薄弱的安全意識(shí)缺口作為他們的攻擊媒介。在此情況下，SIEM的威脅防護(hù)作用將大打折扣，因?yàn)镾IEM從一開始就不是為處理這些問題而構(gòu)建的。

SIEM在設(shè)計(jì)時(shí)并沒有考慮到這一點(diǎn)，現(xiàn)在行業(yè)中已經(jīng)有更先進(jìn)的方法來應(yīng)對(duì)這些新威脅，包括安全態(tài)勢(shì)管理、可擴(kuò)展威脅檢測(cè)和響應(yīng)、攻擊面管理以及跨身份基礎(chǔ)設(shè)施構(gòu)建更完整的可見性等，以更有效地發(fā)現(xiàn)風(fēng)險(xiǎn)，甚至潛在的未知安全問題。

2.應(yīng)用成本居高不下

SIEM的應(yīng)用成本取決于組織的IT基礎(chǔ)設(shè)施分布應(yīng)用情況和實(shí)際安全運(yùn)營(yíng)需求。很多中小型企業(yè)的年度整體安全預(yù)算支出僅為50-100萬美元左右，這將難以支撐SIEM系統(tǒng)的有效運(yùn)營(yíng)要求。在本次報(bào)告中，也特別分析了企業(yè)組織有效運(yùn)營(yíng)SIEM系統(tǒng)必須投入的人力、時(shí)間和金錢資源。

報(bào)告發(fā)現(xiàn)，主流SIEM廠商仍然將其產(chǎn)品定位在服務(wù)大公司、跨國(guó)機(jī)構(gòu)和政府部門客戶定制化使用的高級(jí)安全工具，通常在組織內(nèi)部部署，系統(tǒng)運(yùn)營(yíng)工作需要組織自己的安全團(tuán)隊(duì)負(fù)責(zé)。

研究人員用《加州旅館》（Hotel California）的歌詞對(duì)SIEM的應(yīng)用成本情況進(jìn)行了描述，“你可以隨時(shí)退房，但你永遠(yuǎn)無法離開?！眻?bào)告稱，約40%的受訪組織表示，考慮到SIEM系統(tǒng)運(yùn)營(yíng)的高技術(shù)保障要求，它們難以承擔(dān)SIEM系統(tǒng)的運(yùn)營(yíng)費(fèi)用。

報(bào)告認(rèn)為，如果沒有7*24的安全運(yùn)營(yíng)能力支持，組織將無法處理和應(yīng)對(duì)SIEM應(yīng)用中的復(fù)雜性，實(shí)際應(yīng)用效果并會(huì)不好。而大型企業(yè)組織往往需要每年投入100萬美元以上的運(yùn)營(yíng)維護(hù)費(fèi)用，才能持續(xù)對(duì)SEIM能力進(jìn)行優(yōu)化，并獲得有效的使用效果。

報(bào)告還認(rèn)為，很多組織在實(shí)際使用SIEM系統(tǒng)時(shí)，要么部署不當(dāng)，要么缺乏及時(shí)更新的管理資源。此外，SIEM通常不能很好地集成到組織現(xiàn)有的網(wǎng)絡(luò)安全體系中，從而導(dǎo)致其應(yīng)用性能難以充分發(fā)揮。

3.缺乏對(duì)云的可見性

Exabeam和IDC在今年1月聯(lián)合發(fā)布的一份報(bào)告中指出，全球的企業(yè)組織目前僅能可視化或監(jiān)控其66%的IT應(yīng)用環(huán)境。Exabeam首席執(zhí)行官Adam Geller表示，目前SIEM工具所能提供的數(shù)據(jù)覆蓋度，和針對(duì)MITRE ATT&CK框架下攻擊技術(shù)的檢測(cè)要求之間是“矛盾的”。為了更有效地檢測(cè)、調(diào)查和應(yīng)對(duì)當(dāng)今的主要威脅，SIEM系統(tǒng)必須擁有對(duì)云原生基礎(chǔ)設(shè)施及其中應(yīng)用的數(shù)據(jù)采集和監(jiān)控能力。

Geller認(rèn)為，SEIM的實(shí)際威脅檢出率低并不是說SIEM技術(shù)正在被淘汰，而是許多傳統(tǒng)SIEM系統(tǒng)的應(yīng)用模式仍然是本地化運(yùn)行，這種方式不能提供一個(gè)全面的視圖來理解數(shù)據(jù)，或充分保護(hù)組織。

缺乏對(duì)云的可見性意味著安全團(tuán)隊(duì)對(duì)這些環(huán)境中的任何應(yīng)用發(fā)展都視而不見，從而導(dǎo)致SIEM的威脅監(jiān)測(cè)效率低下。

4.噪音干擾仍然嚴(yán)重

噪音問題一直是SIEM應(yīng)用的主要挑戰(zhàn)之一。今年的報(bào)告研究再次表明，企業(yè)安全團(tuán)隊(duì)需要花費(fèi)約25%到70%的工作時(shí)間來處理SIEM系統(tǒng)的誤報(bào)和噪音煩擾，它不僅會(huì)消耗企業(yè)有限的安全資源，還會(huì)導(dǎo)致精力耗盡和警覺性疲勞。

《Sophos2023年網(wǎng)絡(luò)安全狀況報(bào)告》也發(fā)現(xiàn)，超過90%的組織認(rèn)為威脅搜尋是一項(xiàng)挑戰(zhàn)。絕大多數(shù)（71%）的組織在試圖理解需要調(diào)查哪些信號(hào)或警報(bào)時(shí)存在重大問題。同樣比例的受訪者表示，他們?cè)趦?yōu)先考慮調(diào)查方面遇到了挑戰(zhàn)。

人手不足的安全團(tuán)隊(duì)和高水平的背景噪音使基本的SIEM應(yīng)用成為一場(chǎng)噩夢(mèng)，大公司每天都會(huì)收到數(shù)千條警報(bào)。

身份和訪問安全公司BeyondTrust的首席安全策略師Chris Hills表示，SIEM應(yīng)用中一直無法有效解決的難題就是如何應(yīng)對(duì)噪音。Hills表示，“與EDR解決方案類似，SIEM在噪聲方面沒有什么不同，我所說的噪聲是指誤報(bào)的數(shù)據(jù)量和警報(bào)。當(dāng)分析師試圖確定真正的風(fēng)險(xiǎn)時(shí)，這就形成了‘大海撈針’的效果?！?/p>

結(jié)語

每一個(gè)閃亮的安全工具都會(huì)經(jīng)歷一個(gè)生命周期，從解決組織關(guān)注的問題到被更好的營(yíng)銷新產(chǎn)品所淘汰。從這一點(diǎn)上看，報(bào)告認(rèn)為SIEM已經(jīng)處于其生命周期的后半段，主要原因包括：

• SIEM是資源密集型的，組織必須配置正確的日志源，編寫正確的規(guī)則，并對(duì)數(shù)據(jù)進(jìn)行后處理（post-processing），從它觸發(fā)的警報(bào)中收集任何有用的東西，然后采取行動(dòng)響應(yīng)觸發(fā)的警報(bào)。 
• 就有用性而言，SIEM系統(tǒng)往往會(huì)成為一種數(shù)字化的障礙而不是幫助，有時(shí)它們只是合規(guī)性方面的一個(gè)復(fù)選框，除了作為構(gòu)建其他層以確保環(huán)境安全的基礎(chǔ)之外，實(shí)際上沒有做更多有用的事情。

在此背景下，傳統(tǒng)的SIEM應(yīng)用模式走向失敗并不令人震驚。作為一種獨(dú)立應(yīng)用的工具，SIEM或許很快就會(huì)消失在現(xiàn)代網(wǎng)絡(luò)安全技術(shù)創(chuàng)新和發(fā)展的復(fù)雜趨勢(shì)中。但是SIEM技術(shù)仍會(huì)以新的方式獲得應(yīng)用的動(dòng)力，例如作為一種安全能力融入到SASE服務(wù)、SOAR、MDR、XDR、暗網(wǎng)監(jiān)控和其他新技術(shù)應(yīng)用中。

原文鏈接：https://www.techopedia.com/do-siems-the-swiss-knife-of-cybersecurity-do-the-job