實(shí)時檢出率僅19%,SIEM還是網(wǎng)絡(luò)威脅處理的“瑞士軍刀”嗎?
責(zé)編:gltian |2024-08-01 15:56:13在很多企業(yè)中,SIEM(安全信息和事件管理)已經(jīng)成為安全團(tuán)隊(duì)日常處理威脅事件的必備工具,但這項(xiàng)曾被視為網(wǎng)絡(luò)安全“瑞士軍刀”的技術(shù)如今卻備受質(zhì)疑。
近日,安全研究機(jī)構(gòu)CardinalOps發(fā)布了第四版《SIEM安全風(fēng)險檢測年度報告》,報告收集分析了來自Splunk、Microsoft Sentinel、IBM QRadar和Sumo Logic等行業(yè)主流廠商的SIEM系統(tǒng)真實(shí)應(yīng)用數(shù)據(jù),并使用MITRE ATT&CK技術(shù)對這些SIEM系統(tǒng)的實(shí)時威脅分析檢測能力進(jìn)行了測試。
實(shí)際測試結(jié)果顯示,雖然這些SIEM系統(tǒng)能夠提供組織日常安全運(yùn)營所需的87%數(shù)據(jù)信息,但在實(shí)時檢測攻擊威脅方面的表現(xiàn)卻非常不容樂觀。在本次所測試的各款SIEM系統(tǒng)中,最多僅能實(shí)時檢測到最新MITRE ATT&CK框架涵蓋的201種攻擊技術(shù)中的38種,整體檢出率占比為19%。更令人擔(dān)憂的是,由于SIEM系統(tǒng)配置的復(fù)雜性,18%的SIEM規(guī)則會因?yàn)殄e誤配置的數(shù)據(jù)源和缺少字段等常見問題而變得形同虛設(shè),這進(jìn)一步限制了SIEM的威脅監(jiān)測能力。
CardinalOps首席技術(shù)官兼聯(lián)合創(chuàng)始人Yair Manor表示:“今年的研究揭示了一個缺口,那就是企業(yè)組織仍然希望努力利用SIEM系統(tǒng)最大限度地建立和維持有效的威脅檢測能力,而實(shí)際上SIEM系統(tǒng)卻在發(fā)現(xiàn)攻擊方面充滿了困難和挑戰(zhàn),這可能讓企業(yè)處于巨大的風(fēng)險之中。”
01
難以檢測新型高級攻擊向量
SIEM的構(gòu)建初衷是檢測“已知的惡意行為”,例如MITRE ATT&CK中定義的技術(shù)。雖然在MITRE ATT&CK (v14)框架中列出了201種攻擊技術(shù),但試圖通過配置SIEM來檢出所有這些威脅是不現(xiàn)實(shí)的。
網(wǎng)絡(luò)犯罪分子也了解到SIEM的不足,迅速轉(zhuǎn)向使用被盜憑據(jù)、特權(quán)升級、錯誤配置、網(wǎng)絡(luò)釣魚和薄弱的安全意識缺口作為他們的攻擊媒介。在此情況下,SIEM的威脅防護(hù)作用將大打折扣,因?yàn)镾IEM從一開始就不是為處理這些問題而構(gòu)建的。
SIEM在設(shè)計時并沒有考慮到這一點(diǎn),現(xiàn)在行業(yè)中已經(jīng)有更先進(jìn)的方法來應(yīng)對這些新威脅,包括安全態(tài)勢管理、可擴(kuò)展威脅檢測和響應(yīng)、攻擊面管理以及跨身份基礎(chǔ)設(shè)施構(gòu)建更完整的可見性等,以更有效地發(fā)現(xiàn)風(fēng)險,甚至潛在的未知安全問題。
02
應(yīng)用成本居高不下
SIEM的應(yīng)用成本取決于組織的IT基礎(chǔ)設(shè)施分布應(yīng)用情況和實(shí)際安全運(yùn)營需求。很多中小型企業(yè)的年度整體安全預(yù)算支出僅為50-100萬美元左右,這將難以支撐SIEM系統(tǒng)的有效運(yùn)營要求。在本次報告中,也特別分析了企業(yè)組織有效運(yùn)營SIEM系統(tǒng)必須投入的人力、時間和金錢資源。
報告發(fā)現(xiàn),主流SIEM廠商仍然將其產(chǎn)品定位在服務(wù)大公司、跨國機(jī)構(gòu)和政府部門客戶定制化使用的高級安全工具,通常在組織內(nèi)部部署,系統(tǒng)運(yùn)營工作需要組織自己的安全團(tuán)隊(duì)負(fù)責(zé)。
研究人員用《加州旅館》(Hotel California)的歌詞對SIEM的應(yīng)用成本情況進(jìn)行了描述,“你可以隨時退房,但你永遠(yuǎn)無法離開。”報告稱,約40%的受訪組織表示,考慮到SIEM系統(tǒng)運(yùn)營的高技術(shù)保障要求,它們難以承擔(dān)SIEM系統(tǒng)的運(yùn)營費(fèi)用。
報告認(rèn)為,如果沒有7*24的安全運(yùn)營能力支持,組織將無法處理和應(yīng)對SIEM應(yīng)用中的復(fù)雜性,實(shí)際應(yīng)用效果并會不好。而大型企業(yè)組織往往需要每年投入100萬美元以上的運(yùn)營維護(hù)費(fèi)用,才能持續(xù)對SEIM能力進(jìn)行優(yōu)化,并獲得有效的使用效果。
報告還認(rèn)為,很多組織在實(shí)際使用SIEM系統(tǒng)時,要么部署不當(dāng),要么缺乏及時更新的管理資源。此外,SIEM通常不能很好地集成到組織現(xiàn)有的網(wǎng)絡(luò)安全體系中,從而導(dǎo)致其應(yīng)用性能難以充分發(fā)揮。
03
缺乏對云的可見性
Exabeam和IDC在今年1月聯(lián)合發(fā)布的一份報告中指出,全球的企業(yè)組織目前僅能可視化或監(jiān)控其66%的IT應(yīng)用環(huán)境。Exabeam首席執(zhí)行官Adam Geller表示,目前SIEM工具所能提供的數(shù)據(jù)覆蓋度,和針對MITRE ATT&CK框架下攻擊技術(shù)的檢測要求之間是“矛盾的”。為了更有效地檢測、調(diào)查和應(yīng)對當(dāng)今的主要威脅,SIEM系統(tǒng)必須擁有對云原生基礎(chǔ)設(shè)施及其中應(yīng)用的數(shù)據(jù)采集和監(jiān)控能力。
Geller認(rèn)為,SEIM的實(shí)際威脅檢出率低并不是說SIEM技術(shù)正在被淘汰,而是許多傳統(tǒng)SIEM系統(tǒng)的應(yīng)用模式仍然是本地化運(yùn)行,這種方式不能提供一個全面的視圖來理解數(shù)據(jù),或充分保護(hù)組織。
缺乏對云的可見性意味著安全團(tuán)隊(duì)對這些環(huán)境中的任何應(yīng)用發(fā)展都視而不見,從而導(dǎo)致SIEM的威脅監(jiān)測效率低下。
04
噪音干擾仍然嚴(yán)重
噪音問題一直是SIEM應(yīng)用的主要挑戰(zhàn)之一。今年的報告研究再次表明,企業(yè)安全團(tuán)隊(duì)需要花費(fèi)約25%到70%的工作時間來處理SIEM系統(tǒng)的誤報和噪音煩擾,它不僅會消耗企業(yè)有限的安全資源,還會導(dǎo)致精力耗盡和警覺性疲勞。
《Sophos2023年網(wǎng)絡(luò)安全狀況報告》也發(fā)現(xiàn),超過90%的組織認(rèn)為威脅搜尋是一項(xiàng)挑戰(zhàn)。絕大多數(shù)(71%)的組織在試圖理解需要調(diào)查哪些信號或警報時存在重大問題。同樣比例的受訪者表示,他們在優(yōu)先考慮調(diào)查方面遇到了挑戰(zhàn)。
人手不足的安全團(tuán)隊(duì)和高水平的背景噪音使基本的SIEM應(yīng)用成為一場噩夢,大公司每天都會收到數(shù)千條警報。
身份和訪問安全公司BeyondTrust的首席安全策略師Chris Hills表示,SIEM應(yīng)用中一直無法有效解決的難題就是如何應(yīng)對噪音。Hills表示,“與EDR解決方案類似,SIEM在噪聲方面沒有什么不同,我所說的噪聲是指誤報的數(shù)據(jù)量和警報。當(dāng)分析師試圖確定真正的風(fēng)險時,這就形成了‘大海撈針’的效果。”
結(jié)語
每一個閃亮的安全工具都會經(jīng)歷一個生命周期,從解決組織關(guān)注的問題到被更好的營銷新產(chǎn)品所淘汰。從這一點(diǎn)上看,報告認(rèn)為SIEM已經(jīng)處于其生命周期的后半段,主要原因包括:
- SIEM是資源密集型的,組織必須配置正確的日志源,編寫正確的規(guī)則,并對數(shù)據(jù)進(jìn)行后處理(post-processing),從它觸發(fā)的警報中收集任何有用的東西,然后采取行動響應(yīng)觸發(fā)的警報。
- 就有用性而言,SIEM系統(tǒng)往往會成為一種數(shù)字化的障礙而不是幫助,有時它們只是合規(guī)性方面的一個復(fù)選框,除了作為構(gòu)建其他層以確保環(huán)境安全的基礎(chǔ)之外,實(shí)際上沒有做更多有用的事情。
在此背景下,傳統(tǒng)的SIEM應(yīng)用模式走向失敗并不令人震驚。作為一種獨(dú)立應(yīng)用的工具,SIEM或許很快就會消失在現(xiàn)代網(wǎng)絡(luò)安全技術(shù)創(chuàng)新和發(fā)展的復(fù)雜趨勢中。但是SIEM技術(shù)仍會以新的方式獲得應(yīng)用的動力,例如作為一種安全能力融入到SASE服務(wù)、SOAR、MDR、XDR、暗網(wǎng)監(jiān)控和其他新技術(shù)應(yīng)用中。
原文鏈接:
https://www.techopedia.com/do-siems-the-swiss-knife-of-cybersecurity-do-the-job
聲明:本文來自安全牛,稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場,轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán),請聯(lián)系rhliu@skdlabs.com,我們將及時按原作者或權(quán)利人的意愿予以更正。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧