SIEM模式下的安全運(yùn)維與防護(hù)更符合現(xiàn)代企業(yè)安全格局

網(wǎng)安信科技
網(wǎng)安信科技
隨著遠(yuǎn)程工作,云計(jì)算和其他數(shù)字化技術(shù)的加速發(fā)展,SIEM越來越被人們所關(guān)注,因?yàn)閹缀跛衅髽I(yè)都在尋找這種具有更強(qiáng)可擴(kuò)展性和自動化性的安全運(yùn)維與防護(hù)策略。

近段時(shí)間,網(wǎng)安信安全團(tuán)隊(duì)就針對遠(yuǎn)程安全運(yùn)維和云計(jì)算創(chuàng)建現(xiàn)代SIEM安全策略進(jìn)行了深入探討,發(fā)現(xiàn)當(dāng)下不斷變化的安全格局對安全信息和事件管理(SIEM)具有很大實(shí)踐意義,將能積極推動SIEM繼續(xù)發(fā)展。

在過去16年的發(fā)展過程中,SIEM已完美結(jié)合了安全信息管理(SIM)和安全事件管理(SEM),并且在任何一個(gè)時(shí)間段內(nèi),SIEM的發(fā)展都直接與當(dāng)時(shí)的市場需求和威脅驅(qū)動緊密相關(guān)。

360截圖16410119186063.png

在早期,SIEM更多地受到當(dāng)時(shí)處于主導(dǎo)地位的各種合規(guī)性政策或標(biāo)準(zhǔn)的影響,例如PCI或HIPAA。而近年來,SIEM已趨向于與各應(yīng)用平臺的融合,加速針對越來越復(fù)雜的勒索病毒和惡意軟件的威脅檢測。

隨著遠(yuǎn)程工作,云計(jì)算和其他數(shù)字化技術(shù)的加速發(fā)展,SIEM越來越被人們所關(guān)注,因?yàn)閹缀跛衅髽I(yè)都在尋找這種具有更強(qiáng)可擴(kuò)展性和自動化性的安全運(yùn)維與防護(hù)策略。

360截圖16410119186063.png

高超的可擴(kuò)展性讓SIEM完美兼容任何模式

現(xiàn)代安全威脅的不斷演變讓快速響應(yīng)和自動化處理的安全需求越來越強(qiáng)烈,人工智能,機(jī)器學(xué)習(xí),高級分析,自動檢測異常行為,快速的應(yīng)急響應(yīng)時(shí)間,實(shí)時(shí)且主動的阻止對企業(yè)的任何潛在攻擊和安全威脅。

除了使用AI和機(jī)器學(xué)習(xí)來獲得更好的關(guān)聯(lián)和警報(bào)之外,SIEM高超的可擴(kuò)展性可以讓它與任何平臺兼容,從而具備更豐富的威脅檢測元素,實(shí)現(xiàn)對電子郵件,云資源,應(yīng)用程序,外部威脅情報(bào)源和端點(diǎn)的監(jiān)控,這可以對用戶的操作行為進(jìn)行監(jiān)控分析(UEBA)等。除UEBA外,SIEM還可以與監(jiān)測響應(yīng)(XDR)和自動化響應(yīng)(SOAR)兼容,從而讓SIEM擁有更多的可見性和靈活性。

360截圖16410119186063.png

SIEM是現(xiàn)代企業(yè)安全運(yùn)維最理想的選擇

SIEM的基本原理是使用分析引擎將安全事件與企業(yè)的安全策略進(jìn)行有效匹配,通過對企業(yè)所有安全數(shù)據(jù)和事件建立索引進(jìn)行亞秒級自動化檢索,與在全球范圍內(nèi)收集的威脅情報(bào)進(jìn)行比對分析,從而快速檢測和分辨潛在的高級威脅。

當(dāng)SIEM通過網(wǎng)絡(luò)安全監(jiān)控識別到威脅時(shí),它將自動生成警報(bào)并根據(jù)預(yù)定的規(guī)則定義威脅級別。例如,如果某人試圖在10分鐘內(nèi)登錄10次,這可能被認(rèn)為是正常的,但他如果嘗試在10分鐘內(nèi)登錄100次則有可能會被標(biāo)記為惡意行為。

如今,企業(yè)的IT資產(chǎn)的架構(gòu)和形態(tài)可謂是越來越復(fù)雜,例如目前比較熱門的IPFS行業(yè),資產(chǎn)數(shù)量龐大且分散,資產(chǎn)種類多樣,內(nèi)網(wǎng)和外網(wǎng)架構(gòu)并用,各種云服務(wù)器采用率也在不斷上升,企業(yè)運(yùn)維人員普遍采用遠(yuǎn)程工作等等,這使得SIEM的作用變得更加突出,因?yàn)樗軒椭髽I(yè)的運(yùn)維人員實(shí)現(xiàn)集中式了解自身IT環(huán)境中的安全策略和信息。通過SIEM,企業(yè)的運(yùn)維人員能輕松進(jìn)行安全數(shù)據(jù)分析、安全事件關(guān)聯(lián)、聚合、報(bào)告和日志管理等。

360截圖16410119186063.png

警報(bào)疲勞對企業(yè)運(yùn)維人員提出嚴(yán)重挑戰(zhàn)

盡管SIEM對企業(yè)安全運(yùn)維具有諸多好處,但并不是所有企業(yè)都有能力部署、維護(hù)和管理SIEM,因?yàn)镾IEM的特點(diǎn)就是持續(xù)高效的自動化處理,每天會自動收集企業(yè)整個(gè)IT環(huán)境中的所有安全事件和信息,不僅數(shù)據(jù)量龐大,安全告警也會比較頻繁。

根據(jù)2020年SecOps給出的自動化狀態(tài)調(diào)查報(bào)告顯示,目前雖然有92%的企業(yè)都希望通過自動化處理來解決日常的安全運(yùn)維工作,但只有65%的企業(yè)使用了部分自動化的警報(bào)處理,其中有75%的企業(yè)還額外聘請了至少三名專門的安全分析師來處理當(dāng)天產(chǎn)生所有警報(bào)。

這無疑給企業(yè)運(yùn)維人員帶來了很多額外的工作和負(fù)擔(dān),所以說,如果企業(yè)不能確保對所有操作行為和威脅情報(bào)進(jìn)行有效分析,就不要輕易部署SIEM,否則,就會適得其反,很容出現(xiàn)警報(bào)疲勞,這將大大降低檢測漏洞和其他針對性攻擊的成功率。

一個(gè)有效的SIEM解決方案必將要求企業(yè)管理足夠多的數(shù)據(jù)源,也就是必須在所有IT資源中進(jìn)行部署,由此產(chǎn)生的安全數(shù)據(jù)將是一個(gè)天文數(shù)字,為避免出現(xiàn)漏報(bào)情況,必須輔以人工分析才能最大化確保企業(yè)資產(chǎn)安全,但安全數(shù)據(jù)分析具有很高的專業(yè)要求,且這類人才嚴(yán)重缺乏,因此,企業(yè)可以選擇具有部署、運(yùn)維和管理SIEM的第三方供應(yīng)商提供的解決方案,這樣,企業(yè)的運(yùn)維人員就不會被迫成為SIEM專家。

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論