安全信息和事件管理(SIEM)產(chǎn)品及服務(wù)負(fù)責(zé)從大量企業(yè)安全控件、主機(jī)操作系統(tǒng)、企業(yè)應(yīng)用和企業(yè)使用的其他軟件中收集安全日志數(shù)據(jù),并進(jìn)行分析和報(bào)告。有些SIEM還可以試圖阻止它們檢測到正在進(jìn)行的攻擊,這可能幫助阻止破壞或者限制成功攻擊可能造成的損壞。但是這段時間SIEM似乎遇到了強(qiáng)有力的挑戰(zhàn),現(xiàn)在的市場在推一種名叫SOAPA的概念,有些人說它會取代SIEM,果真如此嗎?
SIEM從2005年正式誕生到現(xiàn)在,也就10多年時間。這段時間內(nèi),SIEM經(jīng)歷了從周邊安全事件關(guān)聯(lián)工具到安全分析系統(tǒng)的演變,最后成為一枝獨(dú)秀。其早期供應(yīng)商eSecurity,GuardedNet,Intellitactics和NetForensics也早已隨著時光流逝不復(fù)盛況。今時今日,SIEM市場被LogRhythm,McAfee,HP,IBM以及Splunk等一些寡頭壟斷。
SIEM供應(yīng)商概貌
而且有些激進(jìn)分子認(rèn)為SIEM是一種過時的的技術(shù)。他們認(rèn)為,日志管理和事件關(guān)聯(lián)根本無法跟上網(wǎng)絡(luò)安全的發(fā)展的步伐。因此,我們需要新的技術(shù)來改變這種境況,比如人工智能、機(jī)器學(xué)習(xí)算法以及神經(jīng)網(wǎng)絡(luò)來對實(shí)時安全數(shù)據(jù)進(jìn)行處理和分析。
還有一群“幫兇”也在無形之中給予他們支持,這群“幫兇”就是行業(yè)分析師,一些行業(yè)分析師唱衰SIEM,大肆宣揚(yáng)“SIEM死亡論”。難道SIEM真的已死?其實(shí)也未必。企業(yè)的安全運(yùn)行和分析需求迫切需要將以前的技術(shù)整合成一個新的東西。
SOAPA是什么?
于是乎,被ESG(Enterprise Strategy Group-企業(yè)戰(zhàn)略集團(tuán))稱作SOAPA( a security operations and analytics platform architecture -安全運(yùn)作和分析平臺架構(gòu))的平臺應(yīng)運(yùn)而生。這個平臺包含類SIEM的功能,并且,SIEM本身的功能在其中仍然扮演著十分重要的角色,這些功能會將分析過的數(shù)據(jù)匯總到公共庫中存儲起來。與過去一枝獨(dú)秀的地位不同,現(xiàn)在的SIEM只是SOAPA平臺中的某一個組成部分。這些技術(shù)設(shè)計(jì)需要以異步協(xié)作作為前提,這樣才能讓安全工程師迅速通過工具找到數(shù)據(jù)并根據(jù)需要采取行動。
SOAPA是一個動態(tài)的架構(gòu),這意味著隨著時間的推移,新的數(shù)據(jù)源和控制平面還會遞增。另外,SOAPA本身就是基于SIEM開發(fā)的,那么SOAPA是否本身就只是個新的營銷噱頭呢?實(shí)際上,除了有與SIEM類似的功能之外,SOAPA還有以下的幾個功能模塊:
端點(diǎn)檢測/響應(yīng)工具(EDR)
安全分析家經(jīng)常想要通過監(jiān)測和調(diào)查主機(jī)行為深挖安全警報(bào),所以EDR(這個領(lǐng)域的主要玩家有Carbon Black,Countertack,CrowdStrike,Guidance Software等)成為了SOAPA的重要組成部分。我們在先前的 Carbon Black分析文章中提過,EDR是一個類別工具和解決方案,專注于檢測、調(diào)查和減輕在主機(jī)或端點(diǎn)的可疑活動。
事故響應(yīng)平臺(IRP)
我們知道,網(wǎng)絡(luò)專家的工作除了收集,處理和分析數(shù)據(jù)的安全性之外,還需要盡快給警報(bào)排定優(yōu)先級以及處理這些警報(bào)。基于上述需求,Hexadite,Phantom,Resilient System(IBM),ServiceNow和Swimlane等IRP平臺相繼誕生。
網(wǎng)絡(luò)安全分析
SIEM的日志分析和EDR主機(jī)行為監(jiān)控都會由SOAPA中的流量和數(shù)據(jù)包分析來執(zhí)行,這部分市場的主要玩家包括了Arbor Networks,Blue Coat/Symantec,思科(Lancope)和RSA。
UBA /機(jī)器學(xué)習(xí)算法
雖然UBA、機(jī)器學(xué)習(xí)等工具被業(yè)界過分炒作,但毫無疑問,機(jī)器學(xué)習(xí)在今后會大有作為,肯定會用于安全分析,正因?yàn)槿绱擞袧摿?,業(yè)界大佬,如Bay Dynamics,Caspeda (Splunk), Exabeam,Niara,Sqrrl and Varonis等都應(yīng)該出現(xiàn)在SOAPA陣營中。
漏洞掃描器和安全資產(chǎn)管理
了解哪些警報(bào)需要優(yōu)先級處理,是安全運(yùn)行的重要組成部分。如果要做出這個決策,我們就不得不借助漏洞管理系統(tǒng)(如Qualys,Rapid7,Tanium)中的可靠數(shù)據(jù)和其他工具(這些工具監(jiān)控系統(tǒng)狀態(tài)和網(wǎng)絡(luò)配置)來驅(qū)動,在這些數(shù)據(jù)和工具的幫助下,我們才可以做出決策。
反惡意軟件沙箱
我們知道,有些針對性攻擊可能會采用0day惡意軟件來發(fā)動。有了這項(xiàng)技術(shù)后,我們就可以很容易的對這類攻擊進(jìn)行更充分的理解了。FireEye,F(xiàn)idelis和趨勢科技的沙箱肯定會成為SOAPA的一部分。
威脅情報(bào)
威脅情報(bào)也就是:“對敵方的情報(bào),及其動機(jī)、企圖和方法進(jìn)行收集、分析和傳播,幫助各個層面的安全和業(yè)務(wù)成員保護(hù)企業(yè)關(guān)鍵資產(chǎn)。”
通常情況下,為了自己的企業(yè)安全,企業(yè)組織想要將內(nèi)部網(wǎng)絡(luò)異常與外部的惡意軟件活動作對比,以收集情報(bào),化解危險。正是因?yàn)槠髽I(yè)有這個需求,SOAPA才延伸到威脅情報(bào)的來源和其他平臺(如Brightpoint,F(xiàn)ireEye/ iSight的合作伙伴,RecordedFuture,ThreatConnect,ThreatQuotient等)。
除了技術(shù)本身之外,這里還有一些關(guān)于SOAPA的其他想法:
1、除了安全工具之間的數(shù)據(jù)交換,下一個較大的創(chuàng)新將來自于由中央SOAPA指揮和控制的安全基礎(chǔ)設(shè)施的分析和管理(如配置管理,策略管理等)。
2、市場方面,市場已經(jīng)在朝著SOAPA這邊偏移。IBM對Resilient System的收購,Splunk對Caspida的收購以及 Elastic Search對的收購就是對這個趨勢的最好見證。
3、眾所周知,McAfee已經(jīng)從英特爾獨(dú)立出來,預(yù)計(jì)這家公司會投資其企業(yè)安全管理平臺,以壯大自己在這方面的優(yōu)勢。另外,McAfee也在加快步伐,將自己的工具和生態(tài)伙伴與SOAPA技術(shù)集成起來,以及進(jìn)行一些相關(guān)的收購,以填補(bǔ)架構(gòu)方面的欠缺。
4、從上文可知,SIEM仍然在SOAPA中處于核心地位,它的優(yōu)勢還是比較明顯,鑒于此,一些企業(yè)(CA?Palo Alto? Symantec? Trend Micro?)或許會對LogRhythm進(jìn)行收購,以搶占先機(jī)。
5、以上提到的各個技術(shù)要素都可以在內(nèi)部或通過SaaS傳遞。因此SOAPA必須足夠靈活才能適應(yīng)這些選項(xiàng)。
6、在搭建SOAPA時,規(guī)模要足夠大,特別是企業(yè)組織提高了云計(jì)算和物聯(lián)網(wǎng)使用比例后,對規(guī)模這一需求就變得更為急切。我們也相信,云分析和存儲在未來會成為SOAPA的一部分。
7、就目前的形勢來看,一部分供應(yīng)商可能提供自己專有的解決方案,但有些企業(yè)客戶應(yīng)該就不會買賬了,他們有可能不采用單一供應(yīng)商的解決方案,他們在搭建SOAPA方案的時候,會和那些比較一流的供應(yīng)商和生態(tài)合作伙伴一起合作。而實(shí)力不足的中小企業(yè)則可以從單一解決方案供應(yīng)商或者SaaS供應(yīng)商處購買。
總結(jié)
我們不能說SIEM就此要被取代,起碼它還是在SOAPA中發(fā)揮應(yīng)該有的作用。SOAPA的出現(xiàn),只證明了這個行業(yè)已經(jīng)向更好的方向發(fā)展了,也表明安全的協(xié)作是個大趨勢。SIEM未來還會向云分析和存儲進(jìn)軍,將會有更多的SIEM廠商加入SOAPA陣營。