二   数字化时代企业安全面临的全新挑战

1   企业数字化带来了新的安全挑战

传统的网络安全架构理念是基于边界的安全架构，企业构建网络安全体系时，首先要做的是寻找安全边界，把网络划分为外网、内网等不同的区域，然后在边界上部署防火墙、入侵检测、WAF等产品。然而这种网络安全架构是基于内网比外网更安全的假设建立起来，在某种程度上预设了对内网中的人、设备和系统的信任，忽视加强内网安全措施。不法分子一旦突破企业的边界安全防护进入内网，会像进入无人之境，将带来严重的后果。此外，内部人员100%安全的假说也是不成立的，我们可以从《内部威胁成本全球报告》里看到，不管是内部威胁的数量，还是成本从2018年到2020年都有大幅的提升。

此外，随着云计算、大数据、物联网、移动办公等新技术与业务的深度融合，网络安全边界也逐渐变得更加模糊，传统边界安全防护理念面临巨大挑战。在这样的背景下，零信任架构（Zero Trust Architecture, ZTA）应运而生。它打破传统的认证，即信任边界防护、静态访问控制、以网络为中心等防护思路，建立起一套以身份为中心，以持续认证、动态访问控制、审计以及监测为链条，以最小化实时授权为核心，以多维信任算法为基础，认证达末端的动态安全架构。

我们可以看到，零信任策略下，监控无边界、持续监控的需求也给SIEM提出了新的挑战。

2   数字化对工程师的挑战

随着DevOps的逐渐深入人心，工程师的开发职责也逐步发生了变化，开发、测试、运维逐步成为趋势。但是DevOps模式下，安全产品、安全能力其实是外置的，在整个软件生命周期中安全防护只是安全团队的责任，在开发的最后阶段才会介入。然而在DevOps有效推进快速迭代的今天，过时的安全措施则可能会拖累整个开发流程，由此催生出了“DevSecOps”的概念。

DevSecOps认为安全防护是整个 IT 团队的共同责任，需要贯穿至整个生命周期的每一个环节。DevSecOps更多关注的是过程安全，这种安全前置的理念，可以把安全植入到开发、测试、部署的各个环节，从源头上屏蔽掉一些风险。

DevSecOps分为了如下几个阶段，每个阶段都有自己的安全要求。左边的“Dev 段”，聚焦软件开发过程的安全保障；右边的“Ops 段”，聚焦软件运行时安全。具体阶段如下：

Plan+Create 阶段，从宏观上可以认为是在进行软件的安全设计与开发前准备，更注重安全规则的制定、安全需求分析、软件设计时的安全考虑；

Verify+Preproduction 阶段，即是对开发阶段进行安全保障，可以进行 AST、Fuzz、SCA 等；

Predict+Respond 阶段，可以理解为软件的在网安全监测，比如监测和响应安全事件等；

Configure+Detect 阶段，可以理解为对应用程序的运行时的安全保障，比如容器和基础设施安全、RASP、WAF 等。

我们可以看到，“Ops 段”涉及的威胁探测、应急响应、威胁预测与SIEM的特性是比较符合的，为了应对DevSecOps中安全融合、快速迭代的要求，对SIEM也提出了轻量化、便捷化的需求。

3   SIEM的全新挑战

基于上述的趋势，我们可以看到零信任（从不信任，始终验证）理念、DevSecOps都给SIEM提出了新的发展要求。新一代的SIEM需要满足零信任下无边界持续动态监控的诉求，就需要监控更广泛的数据，并提供更强的关联分析能力。为了提升DevSecOps的效率，就需要做的更轻量，作为一个基础的工具与DevSecOps进行融合，提供更多开箱即用的功能。同时，与可观测平台一体化融合也是一个发展的趋势。

4   云上一体化SIEM平台

为了适应这些挑战，我们认为一个云上一体化的SIEM平台需要具备如下特征：

平台能力：

对包括日志、Metric、Trace和事件的数据提供统一的采集、存储能力。

在统一存储的基础上，提供统一的数据处理、分析，并且具备机器学习分析能力。

基于可视化的安全态势，告警检测事件管理能力。

业务场景：基于统一的平台上层业务，支撑上层业务方（开发运营、监控、安全、用户运营）。

生态对接：可以对接上下游系统的安全生态支持。

阿里技术