實現以數據驅動的高級威脅檢測和響應
責編:gltian |2022-12-19 11:23:00SIEM技術現已應用了約20年的時間,其早期產品的用途主要是幫助用戶更好地進行日志管理和滿足法規遵從性要求,很少應用到威脅檢測與響應中。然而,由于現代企業的威脅攻擊面不斷擴大和對未知攻擊的擔憂不斷增加,安全團隊需要實現由數據驅動的威脅檢測和響應能力,新一代SIEM產品也隨之產生。
新一代SIEM的能力演進
目前,行業對新一代SIEM還沒有一種明確或普遍接受的概念。然而,我們可以從Gartner給出的SIEM定義中來進行分析:SIEM是一種技術,旨在通過收集和分析安全事件以及上下文數據源,來實現或支持威脅檢測、合規和安全事件管理。
這個定義可以套用到新一代SIEM的概念中:新一代SIEM比傳統SIEM更先進,利用新一代大數據技術和數據建模技術,提供經過改進的數據匯集流程和用戶界面/體驗,并提供額外的威脅檢測和處置功能,比如實體行為分析(UEBA)以及SOAR開放式集成。
通過對傳統SIEM系統進行更有力的升級,企業用戶將可以獲得更準確的分析結果,并且不受過時技術框架和流程的制約。新一代SIEM的新功能可能因廠商而異,但通常都會具備以下典型功能。
- 云原生操作:新一代SIEM完全有必要直接在云端操作、與基于云的系統兼容。這使組織可以統一監控眾多應用程序、設備、服務器和端點,并提高了跨不同數據源收集日志的效率。
- 高級威脅檢測:相比傳統的SIEM,新一代SIEM能夠識別并預測威脅和攻擊,它可以發現可疑活動、不尋常的行為以及與惡意活動相一致的模式。
- 更有效的誤報處理:誤報并非完全可以避免。然而,傳統的SIEM顯然有太多的誤報。新一代SIEM系統可以通過采用人工智能和事件相關機制來提高檢測精準度。
- 更快速的數據處理:傳統SIEM常常與基于數據量的數據評估相關。因此,收集和分析的數據越多,SIEM的運作成本就越高。新一代SIEM則借助統一數據評估模型解決了這個問題,大大降低了獲取數據的成本。
- 加強集成:新一代SIEM可以與更多的安全工具和系統協同工作,包括安全編排自動化和響應(SOAR)、實時可視化工具、行為分析以及連接公共數據源、自定義數據源及其他數據源的威脅情報。
未來屬于開放式XDR?
雖然新一代SIEM與上一代相比有了重大飛躍,但研究人員認為,改進后的SIEM系統仍然會存在一些缺點:
- 首先,數據管理效率低下是SIEM框架固有的缺點。盡管新一代SIEM平臺在竭力解決這個問題,但目前還沒有證明其效果。
- 另外,手動工作在SIEM中依然必不可少,需要依靠由人編寫的規則來進行工作就是一個佐證。
- 此外,即使下一代SIEM在集成方面有所改進,選擇范圍仍比較有限,難以確保它與組織常用的安全工具能夠有效協同工作。
由于SIEM技術存在以上難以根本性解決的難題,一種開放式XDR技術開始出現,并被視為是完善SIEM技術應用不足的有效補充,甚至有觀點認為,開放式XDR技術將成為SIEM的替代者。
從產品的應用目標上,開放式XDR技術與新一代SIEM技術有很多相似之處,主要是通過數據聚合和分析,幫助企業提升對威脅的檢測和響應能力。但開放式XDR采用了和新一代SIEM完全不同的技術框架,更易于實現多種安全數據和能力的集成。開放式XDR框架要求所有的安全數據必須先經過統一的規范和提煉,然后才能存儲到數據湖或大數據處理系統,這與傳統SIEM的做法形成了鮮明對比。由于對收集和存儲的安全數據進行了高質量的處理,這使開放式XDR得以最大限度地發揮人工智能的優勢。
此外,開放式 XDR可以借助不同的安全控制措施來應對各位威脅風險,并使用的統一控制界面來保障用戶的安全運營體驗,讓安全運營人員在一個平臺上輕松應用UEBA、SOAR、NDR、EDR及其他各種工具和技術。
不過,盡管開放式XDR從理論上看更先進,但是目前在產品化落地中卻還不夠成熟,因為目前尚缺乏統一的XDR技術行業標準,因此在不同廠商能力的標準化整合過程中,其實現效果還需要進一步觀察和驗證。
結語
網絡安全威脅形勢在持續地變化,實現數據驅動的安全能力建設是企業用戶的必然選擇。目前,下一代SIEM和開放式XDR都是企業組織在加強網絡防御時可以考慮的方法,不過它們也都存在了一些不足與挑戰。
企業組織需要積極采用更先進的技術方法來擴展威脅檢測和響應能力。然而,這并不意味著組織應該盲目地采用新技術和新產品。充分了解自己的應用需求,然后選擇合適的技術產品,這對威脅檢測和響應能力的提升非常重要。有時候,嘗試選擇多種不同的方法可能必不可少,因此,部署替代或補充型的解決方案也是企業應該考慮的建設方法。