Ponemon：優化SIEM時所面臨的挑戰

【注：本文不是純譯文，包含個人體會】

2017年3月初，Ponemon發表了一份題為《Challenges to Achiveing SIEM Optimization》的調查報告。這份針對全球（尤其是美國）559個使用SIEM人士的調查顯示，41%的人表示他們經常使用SIEM來進行事件響應，26%的受訪者參與了SIEM管理。76%的受訪者表示SIEM很重要，尤其是在監測和響應網路***的時候，70%的人認為現有的SIEM達到或超出了預期，但只有48%的人對於SIEM產生的告警的精確性和指導性感到滿意。也就是說，SIEM很重要，但是還有很大的優化改善空間。

美國尚且如此，放眼中國，情況應該更糟。

那麼SIEM是否已經過時？是否應該被拋棄和取代？Ponemon的報告沒有討論這個問題，但從調研本身的立意而言，顯然是認為沒有過時，只是需要進一步發展。我們如果研究Garnter的各種報告，其實，SIEM一直位於安全監測與分析的核心位置。即便是在客戶對安全的視角逐漸由合規轉向***的過程中，SIEM依然起到了關鍵性作用。在Gartner的自適應安全架構中，SIEM不可或缺。

SIEM很重要，但並非說SIEM做的很好，相反，SIEM有很大的改進空間。改進的方向就是在繼承現有能力的前提下去順應安全視角的轉變。

什麼需要繼承，什麼需要發展？值得SIEM從業人士仔細釐清。這裡，不論是NGSIEM，還是所謂的“態勢感知”，都有一個很基本的能力，就是安全要素資訊採集的能力，這個能力是一個基本的能力，不能丟，也丟不掉。其實，現在我們談到SIEM，早已超越了對日誌、事件的採集，從安管平臺的角度去看，安全要素資訊已經十分豐富了。

回到Ponemon的這份報告。報告認為，若要快速提升SIEM的客戶滿意度，應該關注以下幾點：

1）提供一致的身份檢視（包括人員身份，也包括主機裝置標識）。也就是要將情境資訊（資產、身份）帶入事件分析過程中；

2）攝取第三方的情報資訊，並自動地將其與事件進行關聯；

3）支援事件白名單；

4）將相似的安全資訊進行關聯歸併，找出需要優先處置的安全事件；

5）儘量減少部署實施過程中的配置和定製工作。

此外，報告還給出了進一步提升SIEM成功度的客戶反饋建議：

1）SIEM任務自動化；

2）網路流量視覺化；

3）更精確翔實的告警；

4）專業的分析師；

5）情境關聯；

6）降低低價值資訊的產生，專注重要的事件。

通讀這份報告，可以感受到客戶期待的SIEM優化方向是更好地監測和響應***，結合情報、安全分析、流分析、情境關聯技術，同時聚焦關鍵問題，不要求全。

報告中其它一些有趣的調查結果：

1）76%的人期望至少能夠儲存6個月的日誌資料，但目前79%的人說他們的日誌僅儲存2個月之內；

2）在問及SIEM採集的資料來源型別的時候，反惡意程式碼系統（包括APT檢測、沙箱等）位居第一，其後依次還包括IDS，IPS，抗D，WAF，DLP，AV/EDR，NGFW，UTM。還有35%的人表示他們還採集非安全資料，主要是NetFlow，DHCP日誌，Radius和活動目錄日誌。

最後，關於這些受訪者還有一個重要的細節，就是這份報告中受訪者所在單位的今年平均安全預算是1560萬美元，並且有25%的預算是留給了SIEM的！而在SIEM投資的時候，33%的預算是給到人員投入的！平均達到178萬美元。軟體部分僅佔25%，還有26%用於部署安裝，硬體投入僅佔8%！

看完這個調查物件的說明，必須明白這份報告對於我們的價值。至少我們必須認定這是一份針對北美成熟SIEM使用者的調查。對國內客戶而言，這可能是幾年後的情景。

如果說北美客戶對SIEM的期望是70分，而實際只有60分的話，那麼國內客戶對SIEM的期望是90分，而實際只有50分。國內客戶的不滿，既有SIEM的原因，也有自身的原因。

隨著新理念的不斷湧現，新技術的更新替代，國內如此薄弱的安全基礎和安全認知的基礎上的跨越式發展必然導致期望與現實之間的巨大鴻溝，除了用實實在在的教訓來教育自己，恐怕也沒有其他什麼好方法了。