SIEM（安全信息事件管理）系統(tǒng)的應用已經超過20年。在此期間,，SIEM由最初的邊界安全事件關聯(lián)工具逐漸發(fā)展成為企業(yè)網絡安全治理,、風險管理以及合規(guī)建設的重要支撐平臺。今天,，在很多企業(yè)中,，SIEM已經成為安全團隊日常處理威脅事件的優(yōu)先選項，不僅可以從IT基礎架構中的海量信息資源中收集和分析各種攻擊活動,，同時也是實現(xiàn)安全自動化,、DevSecOps、態(tài)勢感知等安全管理和運營技術的基礎,。

　　昨天：從日志聚合到安全運營

　　第一代的SIEM產品誕生于本世紀初,，起初是被作為一種日志聚合的工具，只是在一些大型頭部企業(yè)使用,，用以解決數據孤島的問題,，同時還可用于歷史數據保留和法律合規(guī)遵從。最早期的SIEM代表性廠商包括ArcSigh（現(xiàn)隸屬Micro Focus）和QRadar（現(xiàn)隸屬IBM）等公司,。

　　在第一代SIEM產品中,，使用了非?；A的關聯(lián)引擎，建立非常簡單的關聯(lián)規(guī)則,，例如“如果看到X,、Y和Z，就應該在工單系統(tǒng)中打開工單,，并向安全團隊發(fā)送警報”,。由于第一代SIEM產品針對非結構化數據的本地處理能力非常薄弱，可能需要花很長的時間來查詢數據,，并只能獲得事件原因的初步分析,。鑒于技術原因，這個時期的SIEM可用性非常糟糕,，甚至給一些客戶留下了花錢買罪受的感受,。

　　隨著時間的推移，企業(yè)的數字化轉型快速發(fā)展,，各種安全設備的運營數據開始激增,，最早期的SIEM產品逐漸跟不上數據產生的步伐，因為其所使用的結構化數據庫無法與時俱進,，而編寫新的解析器需要很長的開發(fā)周期,。

　　當Splunk公司進入SIEM市場后，迅速改變了第一代SIEM廠商的游戲規(guī)則,。該公司研發(fā)了一種靈活而強大的數據存儲和搜索引擎,，通過索引技術，可以搜索各種類型的原始數據（結構化數據和非結構化數據）,，并迅速將數據轉換成可搜索的事件,。這種技術是一項突破，因為它使SIEM工具更容易獲取,、搜索,、存儲和顯示所有不斷增加的數據，并獲得洞察分析能力,。在2012年,，Splunk首次作為領導者出現(xiàn)在Gartner 發(fā)布的SIEM魔力象限中，并在此后的很多年占據著市場領導者位置,。

　　根據研究機構SANS在2019年研究報告數據顯示,，截至2018年底，有超過70％的大型企業(yè)開始依賴SIEM系統(tǒng)來進行數據關聯(lián),、安全分析和運營。同時,，很多企業(yè)的安全運營中心團隊圍繞SIEM配備了用于威脅檢測/響應,、調查/查詢,、威脅情報分析以及流程自動化/編排的其他工具。SIEM正式發(fā)展成為企業(yè)安全運營的發(fā)動機,。

　　今天：應用成本不斷增加

　　當以零日攻擊為代表的高級威脅大量出現(xiàn)后,，SIEM行業(yè)的競爭格局再一次開始改變。傳統(tǒng)SIEM系統(tǒng)由于存在難以實現(xiàn)精準告警,、漏報較為嚴重等問題,，已不是企業(yè)安全運營管理的理想選擇。作為企業(yè)內部安全日志的匯聚器,，SIEM的基本功能或許永遠不會過時,，因為本地安全日志始終是最具價值的威脅情報來源。但安全團隊需要盡快升級優(yōu)化SIEM,，配合更多的威脅檢測/響應,、調查/查詢、威脅情報分析以及流程自動化/編排等先進安全能力,，以實現(xiàn)更加高效,、準確的安全威脅檢測。

　　為了跟上威脅發(fā)展的步伐,，現(xiàn)代的SIEM產品需要更深入地了解所存儲的數據,，并運用更多的網絡智能技術來應對挑戰(zhàn)，用戶和實體行為分析（UEBA）和機器學習技術應運而生,。各大安全廠商都積極嘗試將新一代SIEM產品與 UEBA,、安全編排、自動化和響應 （ SOAR ） 和擴展檢測和響應 （ XDR ） 結合起來,，以實現(xiàn)更加智能化的威脅檢測和響應能力,。

　　在Gartner最新發(fā)布的2022安全運營技術成熟度曲線中，對主流的安全運營技術進行了分析,。報告認為,，SIEM技術已步入穩(wěn)步發(fā)展并趨進成熟的階段，這個分析也正符合市場的現(xiàn)狀,，很多企業(yè)在安全運營中已把SIEM作為主要實現(xiàn)平臺,。

　　從理論上講，更多的數據可以提供更好的洞察力,，但這也容易錯過一些嚴重的安全威脅,，而且還會產生較多誤報。一旦重要報警與大量誤報信息同時出現(xiàn)時,，就會導致重要報警數據淹沒在海量的誤報及非重要報警中,，無法立即響應真實報警。

　　由于總體安全運營數據爆炸式增長,，導致SIEM應用成本快速增長,，每年在SIEM方案升級上的投入讓企業(yè)難以承受,。為了控制應用成本，許多企業(yè)的安全團隊必須做出艱難的決定,，決定他們實際將多少（以及哪些類型的）數據提取到SIEM中進行分析,，其余的數據只能存儲在沒有處理能力的系統(tǒng)中，無法及時得到處理和分析,，這會帶來巨大的安全風險,。

　　鑒于SIEM技術目前的應用成本挑戰(zhàn)，企業(yè)組織需要根據自身的需求,，選用更好,、更具成本效益的技術解決方案。服務化的SIEM方案可以實現(xiàn)高度智能化的分析和檢測,，同時價格也更加合理,、透明，這對于很多中小企業(yè),、初創(chuàng)公司和非營利組織來說,，是一種比較合適的選擇。

　　明天：SIEM的未來在云端

　　根據Gartner的研究數據,，全球SIEM產品市場已從從2020年的34.1億美元增長到了2021年的41億美元,，取得了20%的增長率。SIEM市場發(fā)展的主要驅動因素仍然是檢測,、響應,、攻擊面管理以及合規(guī)。未來,，企業(yè)希望未來的SIEM產品能夠在寬度和深度兩個方面同時滿足其數字化業(yè)務發(fā)展和安全防護的需要,。

　　新一代SIEM產品繼續(xù)不斷吸納新的功能，包括SOAR,、UEBA,、TIP、自服務安全分析,、持續(xù)威脅內容創(chuàng)建,、Incident管理等，這需求SIEM產品進一步轉變架構策略以適應客戶需求,，而最終指向就是云化Cloud SIEM（包括云原生化和云托管）,。云技術不僅可以讓SIEM整合更多威脅檢測引擎，實現(xiàn)更快的運營數據分析,，還可以有效降低企業(yè)的應用成本,。

　　Gartner分析師認為，Cloud SIEM將會成為未來SIEM產品發(fā)展的首要形態(tài),，這也意味著SIEM的架構發(fā)生了重大變化,。云化的好處不僅是順應云時代和遠程辦公時代的需要,，更重要的是為了降低SIEM自身的部署和維護的負擔,，將重點投入到基于SIEM的安全運行上,。Cloud SIEM對中小型企業(yè)來說是非常理想的選擇。

　　此外,，對于不想在SIEM上投入太多資源的企業(yè)來說,，由托管安全服務提供商（MSSP）來運營SIEM也是一個很好的選擇。但是首先需要清楚的了解角色和責任,?？偟膩碚f，未來的云SIEM提供商更多的職責是初期建設部署和優(yōu)化完善SIEM產品的功能更新,；MSSP的職責主要是中后期的威脅場景分析應用及事件跟蹤處置,，而企業(yè)用戶只需要提出應用需求和確認決策。

更多信息可以來這里獲取==>>電子技術應用-AET<<