《新一代SIEM VS SOAR 走向整合还是各自扩展能力》由会员分享,可在线阅读,更多相关《新一代SIEM VS SOAR 走向整合还是各自扩展能力(8页珍藏版)》请在金锄头文库上搜索。
1、新一代SIEM VS. SOAR:走向整合还是各自扩展能力最近,通过对企业安全运营的技术调硏发现,传统的 SIEM解决 方案产生大量告警事件需要等待网络安全运营人员处理,而企业安全 运营中心又普遍缺乏网络安全专业技能人才,使得传统的SIEM解决方案的平均寿命已经缩短到18-24个月,无法有效应对云计算、大数 据、物联网、人工智能新时代的网络安全挑战,新一代SIEM解决方案由此应运而生;此外调硏还发现,新一代 SIEM与SOAR的某些功 能具有异曲同工之妙。一、什么是SIEM?随着信息化建设的深入推进,网络安全日益成为制约现代企业可 持续发展的重要因素。为此,现代企业通常引入了防火墙(Firew
2、all)、防病毒系统(Anti-Virus System , AVS)、入侵检测系统(Intrusion Detection System , IDS)、入侵防御系统(Intrusion Prevention System , IPS)、审计系统等大量安全产品,这些安全产品往往各自为 政,各自产生大量日志以及事件告警数据。然而,网络安全是一个复杂的系统性工程,大量的安全产品使得 安全运营变得日渐庞杂,同时安全产品相互之间不关联互动、信息不 互换共享,难以形成有价值的、全面系统的安全态势分析报告,也就 难以应对复杂多变的安全威胁,由此催生了一个统一多种安全产品需求、集中化管理和分析多种安全日志的
3、纟示合性安全运营中心(SecureOperation Center ,SOC)平台。SIEM(Security Information and Event Management,安全信息和事件管理),作为SOC平台的基础支撑技术,主要是用来收集、 监测和分析网络资产和安全设备的日志和事件。知名公司Gartner对SIEM进行了描述性的定义:SIEM为来自 企业和组织中所有IT资产(包括网络、系统和应用)产生的安全信息(包 括日志、告警等)进行统一的实时监控、历史分析,对来自外部的入侵 和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各 种报表报告,实现IT资源合规性管理的目标,同时提
4、升企业和组织的 安全运营、威胁管理和应急响应能力。二、SIEM的起源1996年,Intellitactics的发布意味着第一款SIEM产品的诞生, 领先了第二款SIEM产品NetForensics长达三年时间,直至2000年 Intellitactics被ArcSight取代。这类产品在当时通常被称为 NSM(Network Security Management ,网络安全管理)。后来,在 Gartner 公司的 Mark Nicolett 和 Amrit Williams 等 安全运营工程师的倡导下,SIEM逐渐取代NSM成为了安全运营工程 师社区的专业术语。SIEM最初基于日志整合而构建
5、,更多地关注日志采集后的分析、 审计、发现问题,日志分析的功效也因此开始发挥出来。此时,日志的整合采用了传统的关系数据库技术进行实现,例如, ArcSight采用两个单独的数据库后端: MySQL和PostgreSQL。 PostgreSQL数据库中存储元数据的事件和趋势,MySQL数据库中存 储活跃列表以及其他信息。但随着日志数据源的数量增加,数据库的负载不断加重,限制了 此时的传统SIEM提供实时响应的能力。尽管如此,以关系数据库为 代表的关联引擎的弓I入为传统的SIEM提供了原始的智能,因其试图 解决误报导致的告警爆炸问题。然而,传统的SIEM立刻在网络安全资源稀缺的企业中遇到了挑 战:
6、一方面,传统的SIEM产生大量告警事件需要等待网络安全运营 人员处理;另一方面,这些企业缺乏网络安全专业技能人才,无法保 证网络安全运营人员整天坐在 SIEM的前端进行一系列调优操作。例 如,内容规则创建,误报验证,漏报查找等等。值得注意的是,告警爆炸也是当今网络安全领域中一个重大的挑 战,催生了新的网络安全服务市场。例如, Counterpane、Riptech 等安全服务托管商(Managed Security Service Provider , MSSP)为 缺乏网络安全专业技能人才的企业提供第一、二级的事件分析服务。三、新一代SIEM的产生新一代SIEM从解决传统SIEM的告警爆炸、
7、企业网络安全专业 技能人才的匮乏等问题出发,并与传统SIEM在日志和事件融合分析、 人工智能技术集成、上下文关联、攻击链构建、威胁响应和威胁狩猎 等6个方面有较大的不同。1、日志和事件融合分析方面。传统的SIEM虽然弓|入了关联引擎,但 是这种关联引擎因有限的数据存储和管理能力无法聚合和关联企业内 部部署(On-Prem)和云端部署的负载、SaaS(Software As A Service , 软件即服务)解决方案以及系统和网络遥测等产生的所有日志和事件 数据源,也就无法对检测到安全威胁进行自动响应。新一代SIEM的采用了一些在21世纪早期还无法使用的大数据 处理和分析技术(例如,Apach
8、e Hadoop、Apache Spark、Elastic Search 等),能够对具有大数据 3V 特征(Volume , Velocity ,Variety) 的多源日志和事件进行融合分析。2、人工智能技术集成方面。传统的 SIEM采用了模式匹配引擎技术 (也称作签名技术)进行上下文的匹配,容易产生大量误报。但在过去的20年里,数据科学逐渐成熟起来,新一代的SIEM采 用了机器学习技术对多源日志和事件数据进行有监督或非监督的学习 建模,进而基于学习的模型快速地识别出异常行为,这极大地减轻了 安全运营人员的工作负担。此外,将人工智能技术集成到传统的 SIEM中,使其不仅能够识 别网络资产异
9、常,还能够学习网络资产环境中的用户行为,从而使其 能够进行用户实体行为分析(User Entity Behavior Analytics ”UEBA)。值得注意的是,新一代SIEM并不只是简单地将事件标识为“正常 或异常”,而是使用机器学习模型对事件分类标签进行评分,当某一标 签的评分超过预先设定的阈值时,就会提交给安全运营人员来进一步 分析。3、上下文关联方面。上下文关联是安全运营(SecOps)日常工作中最基 础的工作之一,用来判断某一告警事件是否应该被视作正常的行为事件,这就要求SIEM能够对网络资产一系列行为信息进行上下文的深 入理解,并根据这种理解来评估影响该资产的告警事件。传统的S
10、IEM直接将事件的严重程度划分为高、中、低三个层级 中一个,除此之外没有更多的上下文信息供安全运营人员参考决策。而在用户实体行为分析中,新一代的SIEM可以根据上下文行为信 息快速地识别出异常行为。例如,一个家住美国加州的员工从未在工 作以外的时间登陆过VPN,但是突然在凌晨两点从乌克兰的网络登陆 VPN,可被新一代的SIEM快速判断为异常行为。4、攻击链构建方面。传统的SIEM不具备对资产和基础设施进行态势 感知的能力,因此无法识别攻击者在受害者网络立足之后的横向移动 攻击行为。新一代SIEM能够跟踪攻击者在企业内部部署的网络中甚至云端 工作负载中从一个资产设备转移到另一个资产设备的横向移动
11、攻击行 为。这就像在犯罪现场调查一样,调查员的主要工作是将事件按照既 定的时间线拼接起来。基于时序的攻击链自动化构建是新一代 SIEM的重要功能,而在 传统的SIEM中必须由安全运营人员手动拼接起来。5、威胁响应方面。新一代的SIEM最强大的功能就是对已知的威胁进 行自动化响应,这些已知的威胁是由事件响应预案(Playbook )预先 定义的。与传统的SIEM不同,新一代SIEM不仅能够从应用程序和系统中提取事件数据,还能够在业务流程之上实现工作流自动化。例如,将响应操作推送到防火墙或入侵防御系统(IPS)等设备,以 响应检测到的威胁。这使得新一代SIEM在能力上与SOAR相似,从 而在市场上
12、弓I起了一定的混淆。6、威胁狩猎方面。新一代SIEM集成了威胁狩猎(Threat Hunting ) 功能,能够辅助安全运营人员寻找网络资产环境中的可疑活动和漏洞, 监视威胁情报的反馈过程,以发现潜在的漏洞利用迹象和恶意的攻击 者,进而防止网络资产设备被攻破。四、新一代SIEM和SOAR对比首先介绍一下MTTR(Mean-Time-To-Resolution,平均响应时间) 和MTTD(Mean-Time-To-Detection 平均检测时间)两个基本概念。MTTR最初起源于桌面支持业务,它表示某一问题从被首次报告到最终被技术人员解决所持续的时间。在网络安全领域,MTTR被用来表示网络安全事
13、故从被首次发现到最终被安全运营人员解决之间的 时间跨度。MTTD表示攻击者使用战术和技术在目标网络上首次获得立足到 最终被网络或终端安全设备检测出来所持续的时间。CoSeciMea s u roSOARRernetdialeiWorkftowThreat HuntingOecishn MakingBusiness IntelHumanIrterv-entionM亦佃ti凹Source_ Gartrwr 10如搆Security Orchestration, Automation and Response; An OverviewPrioritizeRespondDetectTriageSOAR
14、(Security Orchestration, Automation, and Response , 安全编排、自动化和响应)是由Gartner提出的新概念。Gartner对SOAR进行了描述性定义:SOAR是一系列技术的合 集,它能够帮助企业收集安全运营团队监控到的各种信息(包括各种 安全系统产生的告警),并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下,利用人机结合的方式帮助安全运 营人员定义、排序和驱动标准化的事件响应活动。SOAR工具使得企 业能够对事件分析与响应流程进行形式化的描述。与新一代SIEM相同的是,SOAR旨在解决传统SIEM所产生告 警爆炸以及企业缺乏网络
15、安全专业技能人才的挑战,从而帮助企业有 效地部署SIEM。SOAR可以根据事先的预案(Playbook)进行编排和自动化,能够 有效地简化安全运营人员的手工作业,消除了MTTR或MTTD循环中的人为错误,减少了单调繁重的威胁分析过程。与新一代SIEM不同的是,SOAR是一个将企业众多的安全运营 工具集成在一起的平台,采用事件响应预案让众多安全运营工具自动 化执行,当然也可以通过安全运营人员的单击操作来执行。此外.SOAR还为案例管理提供了一个的专用问题跟踪系统(Issue Tracking SystemTS)以用于编纂安全事件分析和响应的工作流程。对比新一代SIEM和SOAR的最佳方法是将SI
16、EM和SOAR分别 视作记录系统和行动系统。这样比较并没有消除对 SIEM的需求,而 新一代SIEM与SOAR结合时,SIEM在减少MTTD和MTTR方面更 有效,解决了安全运营人员短缺的挑战,并降低了 SOC中常见的告警 爆炸问题。正如阿尔伯特爱因斯坦所说,“不是所有有价值的东西都能被计 算,也不是所有能被计算的东西都有价值。”许多人预见了 SOAR和新一代SIEM的冲突,新一代的SIEM公 司正在收购SOAR公司,但其最终目标是将SOAR能力整合到他们的 SIEM平台中,或者说是整合的目的在于扩大两者各自能力。因此,问题并不总是归结为是否其中之一可以做得比其他更好, 而是如若没有功能健全的SOAR或者没有采用SOAR的自动化功能 的新一代SIEM,
