柳州网站 建设之零信任策略下云上安全信息与事件管理实践

2021-11-26

一   SIEM概念及发展趋势


随着企业数字化转型的深入推进,网络安全越来越被企业所重视。为了构建完备的安全防御体系,企业通常会引入了防火墙(Firewall)、防病毒系统(Anti-Virus System,AVS)、入侵防御系统(Intrusion Prevention System,IPS)、入侵检测系统(Intrusion Detection System,IDS)、审计系统等大量安全产品,然而这些安全产品往往各自为政、缺乏联动,难以形成有价值的、全面系统的安全态势分析报告,也就难以应对复杂多变的安全威胁。


安全信息和事件管理 (SIEM,Security Information and Event Management) 正好可以满足这方面的需求。SIEM可以收集和存储来自各种网络、安全设备等日志和事件,并能够持续分析接入的数据,用以持续地进行威胁检测和合规性检测,帮助提升企业威胁响应能力;另外,SIEM也可以综合所采集的安全日志和事件,提供系统全面地安全报告,以便企业完整地评估系统风险。


20.jpg


1   SIEM简介


Gartner在2021年度的《SIEM市场魔力象限分析(MQ)报告》中将SIEM定义为满足以下客户需求的解决方案:


实时收集安全事件日志和telemetry数据,用于威胁检测和合规性检测;

实时并持续分析接入数据,以检测攻击和其他感兴趣的活动;

调查安全事件以确定其潜在的严重性和对业务的影响;

报告上述活动;

存储相关事件和日志。


2   SIEM发展趋势


与自然界事物的发展规律类似,SIEM也有一个从简单到高级的发展过程。


早期的日志管理系统


日志采集的需求由来已久,在计算机领域,日志一般用于记录计算机操作系统或应用程序运行状态或者外部请求事件。SIEM产生之前,安全场景主要是利用一些日志管理工具收集来自各种网络设备的日志,并进行统一存储,以便当异常事件发生时,可以进行事后的日志审计。


SIM和SEM


到了上世纪90年代末,日志分析的需求逐渐强烈,开始出现了SIM(Security Information Management,安全信息管理)和SEM(Security Event Management,安全事件管理)两种技术。在SIM和SEM发展的早期,两者是分开的,比较公认的理解是:SIM注重安全事件的历史分析和报告,包括取证分析;而SEM则更关注实时事件监控和应急处理,更多的强调事件归一化、关联分析。


SIEM


随着企业在IT建设上的持续投入,企业拥有了更多的网络设备和安全设备,会有更加复杂的网络环境,同时对企业安全也越来越重视。随之而来的是更多的安全数据需要处理,并且希望能够从众多数据中提取出威胁事件和安全情报,用于达到安全防火或合规审计的需求。之前单一的基于日志分析的模式不在适用,需要一种新型的工具满足安全分析场景的需求,SIEM的出现正好匹配上这些需求。


SIEM可以收集企业和组织中所有IT资源(包括网络、系统和应用)产生的安全信息(包括日志、告警等)进行统一的实时监控、历史分析,对来自外部的威胁和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告,达到IT资源合规性管理的目标,同时提升企业和组织的安全运营、威胁管理和应急响应能力。


SIEM AS A SERVICE


随着企业数字化转型的深入,企业往往需要有更高级的安全分析的能力,同时SIEM也变得越来越复杂,想要掌握整套的SIEM系统使用能力要求也越来越高。托管式的SIEM出现,很大程度上降低了本地部署的运维成本,提供了更多开箱即用的功能,可以一定程度上降低SIEM的使用门槛,助力企业的安全能力建设。


SIEM AS A UTILITY


未来SIEM可能会作为网络设备的基础功能,作为一个内置工具存在。目前越来越多的云厂商开始将SIEM方案内嵌到自家的云产品中,作为一个基本的功能与云产品基础能力打包售卖。


3   SIEM如何保护企业组织安全?


识别未知威胁:SIEM可以通过针对日志或者安全事件提供实时的数据监控能力,并结合人工智能、威胁情报能力,帮助企业发现潜在的安全风险。


威胁追本溯源:因为安全事件的发生往往会有个很长的持续周期(例如数据库拖库的表象是一次数据库拖库行为,背后可能隐藏着更早之前的某个时间的跳板机密码的泄露),SIEM提供了对于历史数据的分析能力,能够长达几个月甚至更长时间内协助企业发现安全事件发生的蛛丝马迹,还原事件现场。


支持自定义审计:通过SIEM提供的开放的规则引擎,企业可以根据自身的业务场景配置一些持续的审计监控规则,实时监控网络安全。


及时威胁响应:当威胁事件发生时,监控规则会将探测到的异常通过告警等形式通知给相关人员及时进行响应处理,形成问题闭环。


阿里技术

阅读4
分享
写评论...