Ponemon：优化SIEM时所面临的挑战

Posted 2020-09-02

【注：本文不是纯译文，包含个人体会】

2017年3月初，Ponemon发表了一份题为《Challenges to Achiveing SIEM Optimization》的调查报告。这份针对全球（尤其是美国）559个使用SIEM人士的调查显示，41%的人表示他们经常使用SIEM来进行事件响应，26%的受访者参与了SIEM管理。76%的受访者表示SIEM很重要，尤其是在监测和响应网络攻击的时候，70%的人认为现有的SIEM达到或超出了预期，但只有48%的人对于SIEM产生的告警的精确性和指导性感到满意。也就是说，SIEM很重要，但是还有很大的优化改善空间。

美国尚且如此，放眼中国，情况应该更糟。

那么SIEM是否已经过时？是否应该被抛弃和取代？Ponemon的报告没有讨论这个问题，但从调研本身的立意而言，显然是认为没有过时，只是需要进一步发展。我们如果研究Garnter的各种报告，其实，SIEM一直位于安全监测与分析的核心位置。即便是在客户对安全的视角逐渐由合规转向攻防的过程中，SIEM依然起到了关键性作用。在Gartner的自适应安全架构中，SIEM不可或缺。

SIEM很重要，但并非说SIEM做的很好，相反，SIEM有很大的改进空间。改进的方向就是在继承现有能力的前提下去顺应安全视角的转变。

什么需要继承，什么需要发展？值得SIEM从业人士仔细厘清。这里，不论是NGSIEM，还是所谓的“态势感知”，都有一个很基本的能力，就是安全要素信息采集的能力，这个能力是一个基本的能力，不能丢，也丢不掉。其实，现在我们谈到SIEM，早已超越了对日志、事件的采集，从安管平台的角度去看，安全要素信息已经十分丰富了。

回到Ponemon的这份报告。报告认为，若要快速提升SIEM的客户满意度，应该关注以下几点：

1）提供一致的身份视图（包括人员身份，也包括主机设备标识）。也就是要将情境信息（资产、身份）带入事件分析过程中；

2）摄取第三方的情报信息，并自动地将其与事件进行关联；

3）支持事件白名单；

4）将相似的安全信息进行关联归并，找出需要优先处置的安全事件；

5）尽量减少部署实施过程中的配置和定制工作。

此外，报告还给出了进一步提升SIEM成功度的客户反馈建议：

1）SIEM任务自动化；

2）网络流量可视化；

3）更精确翔实的告警；

4）专业的分析师；

5）情境关联；

6）降低低价值信息的产生，专注重要的事件。

通读这份报告，可以感受到客户期待的SIEM优化方向是更好地监测和响应攻击，结合情报、安全分析、流分析、情境关联技术，同时聚焦关键问题，不要求全。

报告中其它一些有趣的调查结果：

1）76%的人期望至少能够存储6个月的日志数据，但目前79%的人说他们的日志仅存储2个月之内；

2）在问及SIEM采集的数据源类型的时候，反恶意代码系统（包括APT检测、沙箱等）位居第一，其后依次还包括IDS，IPS，抗D，WAF，DLP，AV/EDR，NGFW，UTM。还有35%的人表示他们还采集非安全数据，主要是NetFlow，DHCP日志，Radius和活动目录日志。

最后，关于这些受访者还有一个重要的细节，就是这份报告中受访者所在单位的今年平均安全预算是1560万美元，并且有25%的预算是留给了SIEM的！而在SIEM投资的时候，33%的预算是给到人员投入的！平均达到178万美元。软件部分仅占25%，还有26%用于部署安装，硬件投入仅占8%！

看完这个调查对象的说明，必须明白这份报告对于我们的价值。至少我们必须认定这是一份针对北美成熟SIEM用户的调查。对国内客户而言，这可能是几年后的情景。

如果说北美客户对SIEM的期望是70分，而实际只有60分的话，那么国内客户对SIEM的期望是90分，而实际只有50分。国内客户的不满，既有SIEM的原因，也有自身的原因。

随着新理念的不断涌现，新技术的更新替代，国内如此薄弱的安全基础和安全认知的基础上的跨越式发展必然导致期望与现实之间的巨大鸿沟，除了用实实在在的教训来教育自己，恐怕也没有其他什么好方法了。