告別孤立的安全告警!立刻升級SIEM的五大理由
責編:gltian |2022-04-26 15:02:16
安全信息事件管理(SIEM)系統的應用已經超過20年,在很多企業組織,它都是安全管理人員日常處理威脅事件的優先選項。但是,在過去的五年中,網絡攻擊變得越來越隱秘、手段越來越復雜、影響越來越大,因此,基于傳統特征碼的檢測技術也需要不斷向機器學習技術演進,并從單一的威脅檢測轉變為檢測加響應的聯合解決方案。
在此背景下,傳統SIEM系統由于存在難以實現精準告警、漏報較為嚴重等問題,已不是企業安全運營管理的理想選擇,但這并不意味著需要淘汰它。作為企業內部安全日志的匯聚器,SIEM的基本功能或許永遠不會過時,因為本地安全日志始終是最具價值的威脅情報來源。但安全團隊需要盡快升級優化SIEM,配合更多的威脅檢測/響應、調查/查詢、威脅情報分析以及流程自動化/編排等先進安全能力,以實現更加高效、準確的發現、檢測和響應安全威脅。
安全專家總結整理了目前SIEM系統的5大應用挑戰與解決方法,以幫助企業更好地開展安全運營感知工作。
挑戰一:原始數據量多,噪音太大
解決方案:數據自動化處理,消除“誤報”
從理論上講,更多的數據應該可以提供更好的洞察力,但這也容易淹沒有價值的信號。問題不在于我們沒有足夠的數據,而在于我們有太多的非重要報警和誤報數據!
當今,SIEM技術已跟不上安全團隊收集和生成的海量數據。它不僅會錯過大量的安全威脅,而且還會產生較多誤報。重要報警與非重要報警或者誤報同時大量出現時,會導致重要報警數據淹沒在海量的誤報及非重要報警中,無法立即響應真實報警。
想象一下,當安全分析師查看200個警報,卻發現只有4、5個警報是重要報警,那會有多崩潰!“檢測”和“響應”之間,最重要的環節就是分類和處理報警數據。人工智能可以比任何分析師更快地處理數據——并且可以7X24小時全天候工作。可以將15分鐘的檢測過程縮短到幾秒鐘,并生成一份完整的事件分析報告,以便企業的團隊可以在人工響應時查看。
挑戰二:過時的、基于規則的識別技術
解決方案:智能化自動檢測技術
SIEM落后的另一個原因是因為它們是基于特征碼規則檢測。盡管業界對它已經進行了改進和升級,但還是無法跟上大數據問題。
試圖使用簡單的、基于規則的技術來有效地進行威脅檢測肯定會失敗。當然,如果系統識別出它之前遇到的威脅,并且完全相同的威脅以同樣的方式“殺回”,你確實會收到警報。但是,現實世界的大多數威脅并非如此。許多團隊甚至發現,與SIEM相比,經驗豐富的安全分析師或技術工程師能夠檢測到更多的未知威脅。
在過去幾年里,先進的機器學習已經成為一種可替代方案,但是SIEM在人工智能技術應用上目前尚處于起步階段。
挑戰三:弱檢測,無響應
解決方案:將檢測和響應由一個平臺自動化實現
SIEM一直存在“弱檢測,無響應”的問題,它們甚至從未打算做響應功能。但有效的警報分類需要兩者(檢測和響應)之間相互作用。企業可以通過兩種方式解決該問題:
? 通過添加另一種技術來對抗產生許多誤報的嘈雜系統;
? 查詢和分析為什么檢測技術會產生如此多的警報和誤報。
通過智能自動化,分析人員可以將他們的分類過程編碼到檢測引擎中,然后讓機器來執行,將檢測和響應視為兩個孤立部分是不正確的。我們應該將檢測和響應視為同一過程的兩個階段。
挑戰四:SIEM系統不會“學習”
解決方案:機器學習可以通過不斷學習變得更好
在大多數情況下,SIEM不會機器學習或很少使用機器學習算法,這不利于高效安全運營工作的開展。現在,想象一下,你可以為每一位安全分析師和工程師雇傭10名“助手”,并且這些“助手”可以不斷學習、完全可定制、自動執行任務,而且速度比人類快10倍、100倍甚至1000倍,并且7X24全天候運行,這是一種怎樣的場景?
實踐已經證明,企業安全運營中心(SOC)可以在機器學習技術的幫助下,更有效地檢測、分析和響應海量數據,更關鍵的是,速度要比任何人都快約1000倍。這就意味著安全團隊可以騰出時間專注于只有他們能勝任的高級工作,例如一些難以或不可能自動化處理的任務,或者需要對行業和企業具有深刻且人性化理解的事情。
挑戰五:SIEM系統應用成本太高
解決方案:經濟實惠、靈活的自動化選項
有調查顯示,有32%的安全專家表示SIEM運營需要大量的人員培訓和經驗,而21%的人認為SIEM需要不斷調優并消耗大量運營資源才能發揮作用。這就是為什么許多企業的安全團隊必須做出艱難的決定,決定他們可以將多少(以及哪些類型的)數據提取到SIEM中進行分析。其余的數據只能存儲在沒有處理能力的系統中,無法處理、分析和提取有關威脅的寶貴見解,即便是明顯的攻擊跡象(類似Log4j事件)有時也會被忽略。這會帶來巨大的安全風險。
鑒于SIEM的應用成本差異,企業組織可以根據自身的需求,選用更好、更具成本效益的技術解決方案。智能自動化可以實現高度檢測和響應,價格合理、透明,可以針對每個組織的業務需求進行定制。這對于很多中小企業、初創公司和非營利組織來說,會更加適合一些。
原文鏈接:
https://www.logichub.com/blog/goodbye-lonely-siem-hello-mdr
https://www.logichub.com/hubfs/2022%20ebook_%20Five%20Easy%20Steps%20to%20Replace%20Your%20SIEM.pdf