本文來自安全牛。

　　SIEM（安全信息事件管理）系統(tǒng)的應(yīng)用已經(jīng)超過20年。在此期間，SIEM由最初的邊界安全事件關(guān)聯(lián)工具逐漸發(fā)展成為企業(yè)網(wǎng)絡(luò)安全治理、風(fēng)險(xiǎn)管理以及合規(guī)建設(shè)的重要支撐平臺(tái)。今天，在很多企業(yè)中，SIEM已經(jīng)成為安全團(tuán)隊(duì)日常處理威脅事件的優(yōu)先選項(xiàng)，不僅可以從IT基礎(chǔ)架構(gòu)中的海量信息資源中收集和分析各種攻擊活動(dòng)，同時(shí)也是實(shí)現(xiàn)安全自動(dòng)化、DevSecOps、態(tài)勢感知等安全管理和運(yùn)營技術(shù)的基礎(chǔ)。

　　昨天：從日志聚合到安全運(yùn)營

　　第一代的SIEM產(chǎn)品誕生于本世紀(jì)初，起初是被作為一種日志聚合的工具，只是在一些大型頭部企業(yè)使用，用以解決數(shù)據(jù)孤島的問題，同時(shí)還可用于歷史數(shù)據(jù)保留和法律合規(guī)遵從。最早期的SIEM代表性廠商包括ArcSigh（現(xiàn)隸屬M(fèi)icroFocus）和QRadar（現(xiàn)隸屬IBM）等公司。

　　在第一代SIEM產(chǎn)品中，使用了非常基礎(chǔ)的關(guān)聯(lián)引擎，建立非常簡單的關(guān)聯(lián)規(guī)則，例如“如果看到X、Y和Z，就應(yīng)該在工單系統(tǒng)中打開工單，并向安全團(tuán)隊(duì)發(fā)送警報(bào)“。由于第一代SIEM產(chǎn)品針對非結(jié)構(gòu)化數(shù)據(jù)的本地處理能力非常薄弱，可能需要花很長的時(shí)間來查詢數(shù)據(jù)，并只能獲得事件原因的初步分析。鑒于技術(shù)原因，這個(gè)時(shí)期的SIEM可用性非常糟糕，甚至給一些客戶留下了花錢買罪受的感受。

　　隨著時(shí)間的推移，企業(yè)的數(shù)字化轉(zhuǎn)型快速發(fā)展，各種安全設(shè)備的運(yùn)營數(shù)據(jù)開始激增，最早期的SIEM產(chǎn)品逐漸跟不上數(shù)據(jù)產(chǎn)生的步伐，因?yàn)槠渌褂玫慕Y(jié)構(gòu)化數(shù)據(jù)庫無法與時(shí)俱進(jìn)，而編寫新的解析器需要很長的開發(fā)周期。

　　當(dāng)Splunk公司進(jìn)入SIEM市場后，迅速改變了第一代SIEM廠商的游戲規(guī)則。該公司研發(fā)了一種靈活而強(qiáng)大的數(shù)據(jù)存儲(chǔ)和搜索引擎，通過索引技術(shù)，可以搜索各種類型的原始數(shù)據(jù)（結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)），并迅速將數(shù)據(jù)轉(zhuǎn)換成可搜索的事件。這種技術(shù)是一項(xiàng)突破，因?yàn)樗筍IEM工具更容易獲取、搜索、存儲(chǔ)和顯示所有不斷增加的數(shù)據(jù)，并獲得洞察分析能力。在2012年，Splunk首次作為領(lǐng)導(dǎo)者出現(xiàn)在Gartner發(fā)布的SIEM魔力象限中，并在此后的很多年占據(jù)著市場領(lǐng)導(dǎo)者位置。

　　根據(jù)研究機(jī)構(gòu)SANS在2019年研究報(bào)告數(shù)據(jù)顯示，截至2018年底，有超過70％的大型企業(yè)開始依賴SIEM系統(tǒng)來進(jìn)行數(shù)據(jù)關(guān)聯(lián)、安全分析和運(yùn)營。同時(shí)，很多企業(yè)的安全運(yùn)營中心團(tuán)隊(duì)圍繞SIEM配備了用于威脅檢測/響應(yīng)、調(diào)查/查詢、威脅情報(bào)分析以及流程自動(dòng)化/編排的其他工具。SIEM正式發(fā)展成為企業(yè)安全運(yùn)營的發(fā)動(dòng)機(jī)。

　　今天：應(yīng)用成本不斷增加

　　當(dāng)以零日攻擊為代表的高級威脅大量出現(xiàn)后，SIEM行業(yè)的競爭格局再一次開始改變。傳統(tǒng)SIEM系統(tǒng)由于存在難以實(shí)現(xiàn)精準(zhǔn)告警、漏報(bào)較為嚴(yán)重等問題，已不是企業(yè)安全運(yùn)營管理的理想選擇。作為企業(yè)內(nèi)部安全日志的匯聚器，SIEM的基本功能或許永遠(yuǎn)不會(huì)過時(shí)，因?yàn)楸镜匕踩罩臼冀K是最具價(jià)值的威脅情報(bào)來源。但安全團(tuán)隊(duì)需要盡快升級優(yōu)化SIEM，配合更多的威脅檢測/響應(yīng)、調(diào)查/查詢、威脅情報(bào)分析以及流程自動(dòng)化/編排等先進(jìn)安全能力，以實(shí)現(xiàn)更加高效、準(zhǔn)確的安全威脅檢測。

　　為了跟上威脅發(fā)展的步伐，現(xiàn)代的SIEM產(chǎn)品需要更深入地了解所存儲(chǔ)的數(shù)據(jù)，并運(yùn)用更多的網(wǎng)絡(luò)智能技術(shù)來應(yīng)對挑戰(zhàn)，用戶和實(shí)體行為分析（UEBA）和機(jī)器學(xué)習(xí)技術(shù)應(yīng)運(yùn)而生。各大安全廠商都積極嘗試將新一代SIEM產(chǎn)品與UEBA、安全編排、自動(dòng)化和響應(yīng)(SOAR)和擴(kuò)展檢測和響應(yīng)(XDR)結(jié)合起來，以實(shí)現(xiàn)更加智能化的威脅檢測和響應(yīng)能力。

　　在Gartner最新發(fā)布的2022安全運(yùn)營技術(shù)成熟度曲線中，對主流的安全運(yùn)營技術(shù)進(jìn)行了分析。報(bào)告認(rèn)為，SIEM技術(shù)已步入穩(wěn)步發(fā)展并趨進(jìn)成熟的階段，這個(gè)分析也正符合市場的現(xiàn)狀，很多企業(yè)在安全運(yùn)營中已把SIEM作為主要實(shí)現(xiàn)平臺(tái)。

　　從理論上講，更多的數(shù)據(jù)可以提供更好的洞察力，但這也容易錯(cuò)過一些嚴(yán)重的安全威脅，而且還會(huì)產(chǎn)生較多誤報(bào)。一旦重要報(bào)警與大量誤報(bào)信息同時(shí)出現(xiàn)時(shí)，就會(huì)導(dǎo)致重要報(bào)警數(shù)據(jù)淹沒在海量的誤報(bào)及非重要報(bào)警中，無法立即響應(yīng)真實(shí)報(bào)警。

　　由于總體安全運(yùn)營數(shù)據(jù)爆炸式增長，導(dǎo)致SIEM應(yīng)用成本快速增長，每年在SIEM方案升級上的投入讓企業(yè)難以承受。為了控制應(yīng)用成本，許多企業(yè)的安全團(tuán)隊(duì)必須做出艱難的決定，決定他們實(shí)際將多少（以及哪些類型的）數(shù)據(jù)提取到SIEM中進(jìn)行分析，其余的數(shù)據(jù)只能存儲(chǔ)在沒有處理能力的系統(tǒng)中，無法及時(shí)得到處理和分析，這會(huì)帶來巨大的安全風(fēng)險(xiǎn)。

　　鑒于SIEM技術(shù)目前的應(yīng)用成本挑戰(zhàn)，企業(yè)組織需要根據(jù)自身的需求，選用更好、更具成本效益的技術(shù)解決方案。服務(wù)化的SIEM方案可以實(shí)現(xiàn)高度智能化的分析和檢測，同時(shí)價(jià)格也更加合理、透明，這對于很多中小企業(yè)、初創(chuàng)公司和非營利組織來說，是一種比較合適的選擇。

　　明天：SIEM的未來在云端

　　根據(jù)Gartner的研究數(shù)據(jù)，全球SIEM產(chǎn)品市場已從從2020年的34.1億美元增長到了2021年的41億美元，取得了20%的增長率。SIEM市場發(fā)展的主要驅(qū)動(dòng)因素仍然是檢測、響應(yīng)、攻擊面管理以及合規(guī)。未來，企業(yè)希望未來的SIEM產(chǎn)品能夠在寬度和深度兩個(gè)方面同時(shí)滿足其數(shù)字化業(yè)務(wù)發(fā)展和安全防護(hù)的需要。

　　新一代SIEM產(chǎn)品繼續(xù)不斷吸納新的功能，包括SOAR、UEBA、TIP、自服務(wù)安全分析、持續(xù)威脅內(nèi)容創(chuàng)建、Incident管理等，這需求SIEM產(chǎn)品進(jìn)一步轉(zhuǎn)變架構(gòu)策略以適應(yīng)客戶需求，而最終指向就是云化CloudSIEM（包括云原生化和云托管）。云技術(shù)不僅可以讓SIEM整合更多威脅檢測引擎，實(shí)現(xiàn)更快的運(yùn)營數(shù)據(jù)分析，還可以有效降低企業(yè)的應(yīng)用成本。

　　Gartner分析師認(rèn)為，CloudSIEM將會(huì)成為未來SIEM產(chǎn)品發(fā)展的首要形態(tài)，這也意味著SIEM的架構(gòu)發(fā)生了重大變化。云化的好處不僅是順應(yīng)云時(shí)代和遠(yuǎn)程辦公時(shí)代的需要，更重要的是為了降低SIEM自身的部署和維護(hù)的負(fù)擔(dān)，將重點(diǎn)投入到基于SIEM的安全運(yùn)行上。CloudSIEM對中小型企業(yè)來說是非常理想的選擇。

　　此外，對于不想在SIEM上投入太多資源的企業(yè)來說，由托管安全服務(wù)提供商（MSSP）來運(yùn)營SIEM也是一個(gè)很好的選擇。但是首先需要清楚的了解角色和責(zé)任。總的來說，未來的云SIEM提供商更多的職責(zé)是初期建設(shè)部署和優(yōu)化完善SIEM產(chǎn)品的功能更新；MSSP的職責(zé)主要是中后期的威脅場景分析應(yīng)用及事件跟蹤處置，而企業(yè)用戶只需要提出應(yīng)用需求和確認(rèn)決策。