2018 rsa大會 上許多安全公司都推出了自己的下一代 SIEM 安全信息和事件管理解決方案,Empow這家來自于以色列公司表示下一代SIEM需要具備4種能力,包括①實現戰略防御,優先考慮業務風險;②自動解密安全事件的意圖以實現即時因果關系 、消除關聯規則和安全維護的開銷;③針對高級攻擊活動自動進行調查和實時事件響應;④提供洞察企業的安全狀況和差距,以及安全工具的性能和投資回報率。
Empow打破傳統SIEM的觀念,通過與現有的網絡基礎設施整合并將安全工具分解為各自的組件,稱之為Security Particles?,同時創建了一個反映高級 攻擊鏈 模型的安全功能分類,并能夠建模針對性的防御策略。隨后在整個網絡中執行這些防御策略,根據每個防御策略協調最佳檢測、調查和響應。
SIEM是什么
維基百科,在計算機安全領域,安全信息和事件管理( SIEM )軟件產品和服務結合了安全信息管理(SIM)和安全事件管理(SEM)。它們對應用程序和網絡硬件產生的安全警報進行實時分析。供應商將SIEM作為軟件銷售,作為設備或作為托管服務;?這些產品還用于記錄安全數據并生成符合規定的報告
Empow提出下一代SIEM首先需要具備戰略防御能力
Empow指出下一代SIEM需要具備四種能力,即
- ①實現戰略防御,優先考慮業務風險;
- ②自動解密安全事件的意圖以實現即時因果關系 、消除關聯規則和安全維護的開銷;
- ③針對高級攻擊活動自動進行調查和實時事件響應;
- ④提供洞察企業的安全狀況和差距,以及安全工具的性能和投資回報率。
同時Empow指出下一代SIEM如何更好的協助企業解決檢測、調查和響應,形成安全閉環管理,需要重點關注四個層的內容:
基于場景化的安全模塊能力
提供了一種戰略性的、不可知的,基于場景化的安全模塊,允許自定義或使用預先構建的目標防御策略(安全應用程序)。基于攻擊場景和類型反映先進的攻擊鏈模型,攻擊者戰術、技術和程序的分類;并用場景類型進一步擴展。為了模擬有針對性的防御策略,安全模塊由業務場景組成,其中包括偵測,調查和響應功能以抵制攻擊任務。
自適應安全平臺能力
自適應安全平臺位于網絡基礎架構之上,并通過將針對性防御策略(安全應用)轉換為根據每個安全應用進行檢測,調查和響應的協調指令,實現基于場景的安全模塊。該平臺可以在整個組織現有的安全工具和網絡基礎架構中有效實施和執行這些工具,同時不斷測量安全系統和工具的有效性。
過程分析能力
安全平臺的過程分析能力由專有AI 人工智能技術實現,該技術戰略性地集成到以下過程中。
- 日志和數據源 使用一系列針對第三方網絡和端點解決方案的插件,從現有安全產品中收集和分析日志、數據和情報。
- 機器學習分類過程 安全平臺使用 機器學習和自然語言處理算法來解譯各個日志的意圖,這些算法模擬安全分析師完成相關的操作和日志讀取,從日志本身和外部 威脅情報 找出相關信息,并確定攻擊意圖,整個過程持續和自動運行,不需要人工參與。
- 推理分析引擎 安全分析引擎識別各個安全日志、數據之間的因果關系,將它們分組在一起形成攻擊鏈條,該引擎還模擬安全專家流程,根據攻擊意圖實時決定哪些策略是必需的,并根據系統的風險評估能力決定采用哪種主動響應策略。
- 安全處置 根據上下文協調引擎動態地識別和選擇最佳可用產品和網絡工具來執行調查和響應行動,這轉化為快速和最佳的事件響應 ,同時簡化安全操作并消除維護開銷。
就運營商行業來說,經過多年的信息安全建設,已投資部署了大量安全產品,產生大量的安全日志,但隨著攻擊態勢的不斷演進,很多用戶依然是安全事故頻出,運維開銷巨大,為了更好加強安全運維,在安全事件發生的全過程中進行監測與發現,并提前預警,綠盟科技推出了基于大數據技術的 態勢感知 解決方案,顛覆傳統SIEM的實現方式。
