行業(yè)動態(tài)

和傳統(tǒng)SIEM說再見的10個理由

來源:聚銘網絡    發(fā)布時間:2018-05-16    瀏覽次數(shù):
 

信息來源:51CTO

一定規(guī)模的安全公司幾乎都會有套昂貴的SIEM系統(tǒng)。出于各種原因,SIEM曾經一度處于安全運營和事件響應的中心位置。但隨著時間流逝,安全運營工作流越來越復雜,公司企業(yè)能從SIEM中獲得的價值已大不如前。但這并不是說公司企業(yè)應馬上完全摒棄SIEM。

傳統(tǒng)SIEM

事實上,正好相反,公司企業(yè)應敦促SIEM提供商滿足2018的安全運營需求,而不是二十年前的。而一旦這些遺留系統(tǒng)真的達不到當今的要求,可能也就到了該換個選項的時候了。

基于此,特給出和傳統(tǒng)SIEM說再見的10個理由:

1. 攻擊不是線性的

大多數(shù)SIEM按行呈現(xiàn)其攝入的數(shù)據(jù)。換句話說,線性輸入線性出。然而不幸的是,攻擊者和攻擊本身卻并不總是線性的。瞪著一張事件列表并不能幫你找出可疑或惡意行為。

2. 關注數(shù)據(jù)價值而非其數(shù)量

人們總想把所有能接入的數(shù)據(jù)源上的數(shù)據(jù)都收集起來。但你有沒有想過這些源對安全運營有沒有價值呢?如果沒有,還有必要收集了存起來嗎?收集來的每份數(shù)據(jù)都會縮短現(xiàn)有存儲空間的壽命,降低調查分析的效率。數(shù)據(jù)收集應更聰明些,而不是更努力些。

3. 太多工具

大多數(shù)安全公司持有的安全工具數(shù)量都十分驚人。有這么多工具可用的同時,需要每種工具滿足多種不同操作需求的時代也來臨了。隨著安全運營行業(yè)的成熟,對SIEM的要求已超出了大部分傳統(tǒng)供應商的能力范圍。

4. 內部流量

包括SIEM在內的很多安全解決方案,都重度依賴邊界流量來提供可見性。但很不幸,邊界內部也是有很多很重要的東西的。橫向移動、內部應用誤用和憑證竊取之類的事通常都發(fā)生在公司內部。然而,公司內部恰恰是很多公司企業(yè)都難以獲得足夠可見性的地方。視而不見或不聞不問要不得。

5. 數(shù)據(jù)切分

大多數(shù)安全分析員通常都有才、聰明、有創(chuàng)造性。他們需要能夠構建復雜查詢的工具來切分數(shù)據(jù),以便能夠調查可疑行為,并發(fā)現(xiàn)其他需要注意的活動。另外,速度和效率也很關鍵。不應該耗費數(shù)小時才可以知道給定類型的行為是否曾經出現(xiàn)過。

6. 關聯(lián)

安全團隊需要工具將相關事件關聯(lián)起來。至少安全工具應該是輔助而不是阻礙分析師做這些關聯(lián)。除此之外,現(xiàn)代工具還應能在分析師著手之前就自動關聯(lián)某些相關數(shù)據(jù)。

7. 上下文

描述清楚事件可以讓安全團隊做出及時準確的決策。這涉及到從不同數(shù)據(jù)源收集各種支持性證據(jù)揉合成重要的上下文,而不是直接拋出缺乏上下文的事件。不支持這種程度的調查自由度,或者沒辦法自動化其中一部分工作的工具,在2018年是沒有市場的。

8. 更智能的內容構建

無論公司企業(yè)的檢測技術多么緊跟潮流常換常新,總有改進的空間。如果你已經有了精英安全團隊,他們很可能會對傳統(tǒng)SIEM系統(tǒng)那有限的分析和查詢能力感到絕望。他們腦中有關新檢測技術的構想,需要現(xiàn)代工具幫助他們挖掘出來并加以實現(xiàn)。

9. 更平滑的調查

只要用過傳統(tǒng)SIEM調查事件,就會很快發(fā)現(xiàn)這調查過程磕磕絆絆一點都不平滑。今天的調查要求工具擁有足夠的靈活性和功能性,要能對各式各樣的大量數(shù)據(jù)做深入查詢。

10. 新方法

人工發(fā)展警報邏輯是非常重要的活動,但也有可能是效率極低的做法。自動化分析方法已經成熟到了可以產出價值附加警報的程度,為安全運營工作流帶來效率。當然也有工具并不具備足夠的分析嚴謹性,會產生大量誤報和噪音。不過,有一部分精選工具可以產生人類可能沒識別出的高保真可靠警報。雖然步伐緩慢,但這一功能必然會成為現(xiàn)代安全團隊必備品。

 
 

上一篇:2018年05月15日 聚銘安全速遞

下一篇:Python庫現(xiàn)后門 可竊取用戶SSH信息