新一代SIEM VS SOAR 走向整合還是各自擴(kuò)展能力

1、新-代 SIEM VS. SOAR:走向整合還是各自擴(kuò)展能力最近，通過對企業(yè)安全運(yùn)營的技術(shù)調(diào)研發(fā)現(xiàn)，傳統(tǒng)的 SIEM解決 方案產(chǎn)生大量告警事件需要等待網(wǎng)絡(luò)安全運(yùn)營人員處理，而企業(yè)安全 運(yùn)營中心又普遍缺乏網(wǎng)絡(luò)安全專業(yè)技能人才，使得傳統(tǒng)的SIEM解決方案的平均壽命已經(jīng)縮短到18-24個月，無法有效應(yīng)對云計算、大數(shù) 據(jù)、物聯(lián)網(wǎng)、人工智能新時代的網(wǎng)絡(luò)安全挑戰(zhàn)，新一代SIEM解決方案由此應(yīng)運(yùn)而生；此外調(diào)研還發(fā)現(xiàn)，新一代 SIEM與SOAR的某些功 能具有異曲同工之妙。一,什么是SIEM?隨著信息化建設(shè)的深入推進(jìn)，網(wǎng)絡(luò)安全日益成為制約現(xiàn)代企業(yè)可 持續(xù)發(fā)展的重要因素。為此，現(xiàn)代企業(yè)通常引入了防火墻(Fire

2、wall)、防病毒系統(tǒng)(Anti-Virus System，AVS)、入侵檢測系統(tǒng)(Intrusion Detection System，IDS)、入侵防御系統(tǒng)(Intrusion Prevention System，IPS)、審計系統(tǒng)等大量安全產(chǎn)品，這些安全產(chǎn)品往往各自為 政，各自產(chǎn)生大量日志以及事件告警數(shù)據(jù)。然而，網(wǎng)絡(luò)安全是一個復(fù)雜的系統(tǒng)性工程，大量的安全產(chǎn)品使得 安全運(yùn)營變得日漸龐雜，同時安全產(chǎn)品相互之間不關(guān)聯(lián)互動、信息不 互換共享，難以形成有價值的、全面系統(tǒng)的安全態(tài)勢分析報告，也就 難以應(yīng)對復(fù)雜多變的安全威脅，由此催生了一個統(tǒng)一多種安全產(chǎn)品需求、集中化管理和分析多種安全日志的綜合性安全

3、運(yùn)營中心（SecureOperation Center，SOC）平臺。SIEM（Security Information and Event Management，安全信息和事件管理），作為SOC平臺的基礎(chǔ)支撐技術(shù)，主要是用來收集、 監(jiān)測和分析網(wǎng)絡(luò)資產(chǎn)和安全設(shè)備的日志和事件。知名公司Gartner對SIEM進(jìn)行了描述性的定義：SIEM為來自 企業(yè)和組織中所有IT資產(chǎn)（包括網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用）產(chǎn)生的安全信息（包 括日志、告警等）進(jìn)行統(tǒng)一的實(shí)時監(jiān)控、歷史分析，對來自外部的入侵 和內(nèi)部的違規(guī)、誤操作行為進(jìn)行監(jiān)控、審計分析、調(diào)查取證、出具各 種報表報告，實(shí)現(xiàn)IT資源合規(guī)性管理的目標(biāo)，同時提升企業(yè)和組織的

4、 安全運(yùn)營、威脅管理和應(yīng)急響應(yīng)能力。二,SIEM的起源1996年，Intellitactics的發(fā)布意味著第一款SIEM產(chǎn)品的誕生， 領(lǐng)先了第二款SIEM產(chǎn)品NetForensics長達(dá)三年時間，直至2000年 Intellitactics被ArcSight取代。這類產(chǎn)品在當(dāng)時通常被稱為 NSM（Network Security Management ，網(wǎng)絡(luò)安全管理）。后來，在 Gartner 公司的 Mark Nicolett 和 Amrit Williams 等 安全運(yùn)營工程師的倡導(dǎo)下，SIEM逐漸取代NSM成為了安全運(yùn)營工程 師社區(qū)的專業(yè)術(shù)語。SIEM最初基于日志整合而構(gòu)建，更多地關(guān)注日

5、志采集后的分析、審計、發(fā)現(xiàn)問題，日志分析的功效也因此開始發(fā)揮出來。此時，日志的整合采用了傳統(tǒng)的關(guān)系數(shù)據(jù)庫技術(shù)進(jìn)行實(shí)現(xiàn)，例如，ArcSight采用兩個單獨(dú)的數(shù)據(jù)庫后端： MySQL和PostgreSQL o PostgreSQL數(shù)據(jù)庫中存儲元數(shù)據(jù)的事件和趨勢，MySQL數(shù)據(jù)庫中存 儲活躍列表以及其他信息。但隨著日志數(shù)據(jù)源的數(shù)量增加，數(shù)據(jù)庫的負(fù)載不斷加重，限制了 此時的傳統(tǒng)SIEM提供實(shí)時響應(yīng)的能力。盡管如此，以關(guān)系數(shù)據(jù)庫為 代表的關(guān)聯(lián)引擎的引入為傳統(tǒng)的SIEM提供了原始的智能，因其試圖 解決誤報導(dǎo)致的告警爆炸問題。然而，傳統(tǒng)的SIEM立刻在網(wǎng)絡(luò)安全資源稀缺的企業(yè)中遇到了挑 戰(zhàn)：一方面，傳統(tǒng)的SI

6、EM產(chǎn)生大量告警事件需要等待網(wǎng)絡(luò)安全運(yùn)營 人員處理；另一方面，這些企業(yè)缺乏網(wǎng)絡(luò)安全專業(yè)技能人才，無法保 證網(wǎng)絡(luò)安全運(yùn)營人員整天坐在SIEM的前端進(jìn)行一系列調(diào)優(yōu)操作。例 如，內(nèi)容規(guī)則創(chuàng)建，誤報驗(yàn)證，漏報查找等等。值得注意的是，告警爆炸也是當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域中一個重大的挑 戰(zhàn)，催生了新的網(wǎng)絡(luò)安全服務(wù)市場。例如，Counterpane、Riptech等安全服務(wù)托管商(Managed Security Service Provider , MSSP)為 缺乏網(wǎng)絡(luò)安全專業(yè)技能人才的企業(yè)提供第一、二級的事件分析服務(wù)。三新一代SIEM的產(chǎn)生新一代SIEM從解決傳統(tǒng)SIEM的告警爆炸、企業(yè)網(wǎng)絡(luò)安全專業(yè) 技能人才

7、的匱乏等問題出發(fā)，并與傳統(tǒng)SIEM在日志和事件融合分析、 人工智能技術(shù)集成、上下文關(guān)聯(lián)、攻擊鏈構(gòu)建、威脅響應(yīng)和威脅狩獵 等6個方面有較大的不同。1、日志和事件融合分析方面。傳統(tǒng)的SIEM雖然弓|入了關(guān)聯(lián)引擎，但 是這種關(guān)聯(lián)引擎因有限的數(shù)據(jù)存儲和管理能力無法聚合和關(guān)聯(lián)企業(yè)內(nèi) 部部署(On-Prem)和云端部署的負(fù)載、SaaS(Software As A Service , 軟件即服務(wù))解決方案以及系統(tǒng)和網(wǎng)絡(luò)遙測等產(chǎn)生的所有日志和事件數(shù)據(jù)源，也就無法對檢測到安全威脅進(jìn)行自動響應(yīng)。新一代SIEM的采用了一些在21世紀(jì)早期還無法使用的大數(shù)據(jù)處理和分析技術(shù)(例如，Apache Hadoop、Apache

8、 Spark、Elastic Search 等)，能夠?qū)哂写髷?shù)據(jù) 3V 特征(Volume ,Velocity ,Variety) 的多源日志和事件進(jìn)行融合分析。2、人工智能技術(shù)集成方面。傳統(tǒng)的 SIEM采用了模式匹配引擎技術(shù) (也稱作簽名技術(shù))進(jìn)行上下文的匹配，容易產(chǎn)生大量誤報。但在過去的20年里，數(shù)據(jù)科學(xué)逐漸成熟起來，新一代的SIEM采 用了機(jī)器學(xué)習(xí)技術(shù)對多源日志和事件數(shù)據(jù)進(jìn)行有監(jiān)督或非監(jiān)督的學(xué)習(xí) 建模，進(jìn)而基于學(xué)習(xí)的模型快速地識別出異常行為，這極大地減輕了 安全運(yùn)營人員的工作負(fù)擔(dān)。此外，將人工智能技術(shù)集成到傳統(tǒng)的SIEM中，使其不僅能夠識別網(wǎng)絡(luò)資產(chǎn)異常，還能夠?qū)W習(xí)網(wǎng)絡(luò)資產(chǎn)環(huán)境中的用戶行

9、為，從而使其 能夠進(jìn)行用戶實(shí)體行為分析(User Entity Behavior Analytics ,UEBA)。值得注意的是，新一代SIEM并不只是簡單地將事件標(biāo)識為正常 或異?！保鞘褂脵C(jī)器學(xué)習(xí)模型對事件分類標(biāo)簽進(jìn)行評分，當(dāng)某一標(biāo) 簽的評分超過預(yù)先設(shè)定的閾值時，就會提交給安全運(yùn)營人員來進(jìn)一步 分析。3、上下文關(guān)聯(lián)方面。上下文關(guān)聯(lián)是安全運(yùn)營(SecOps)日常工作中最基 礎(chǔ)的工作之一，用來判斷某一告警事件是否應(yīng)該被視作正常的行為事件，這就要求SIEM能夠?qū)W(wǎng)絡(luò)資產(chǎn)一系列行為信息進(jìn)行上下文的深 入理解，并根據(jù)這種理解來評估影響該資產(chǎn)的告警事件。傳統(tǒng)的SIEM直接將事件的嚴(yán)重程度劃分為高、中

10、、低三個層級 中一個，除此之外沒有更多的上下文信息供安全運(yùn)營人員參考決策。而在用戶實(shí)體行為分析中，新一代的SIEM可以根據(jù)上下文行為信 息快速地識別出異常行為。例如，一個家住美國加州的員工從未在工 作以外的時間登陸過VPN，但是突然在凌晨兩點(diǎn)從烏克蘭的網(wǎng)絡(luò)登陸 VPN，可被新一代的SIEM快速判斷為異常行為。4、攻擊鏈構(gòu)建方面。傳統(tǒng)的SIEM不具備對資產(chǎn)和基礎(chǔ)設(shè)施進(jìn)行態(tài)勢 感知的能力，因此無法識別攻擊者在受害者網(wǎng)絡(luò)立足之后的橫向移動 攻擊行為。新一代SIEM能夠跟蹤攻擊者在企業(yè)內(nèi)部部署的網(wǎng)絡(luò)中甚至云端 工作負(fù)載中從一個資產(chǎn)設(shè)備轉(zhuǎn)移到另一個資產(chǎn)設(shè)備的橫向移動攻擊行 為。這就像在犯罪現(xiàn)場調(diào)查一樣，

11、調(diào)查員的主要工作是將事件按照既 定的時間線拼接起來?；跁r序的攻擊鏈自動化構(gòu)建是新一代 SIEM的重要功能，而在 傳統(tǒng)的SIEM中必須由安全運(yùn)營人員手動拼接起來。5、威脅響應(yīng)方面。新一代的SIEM最強(qiáng)大的功能就是對已知的威脅進(jìn) 行自動化響應(yīng)，這些已知的威脅是由事件響應(yīng)預(yù)案(Playbook)預(yù)先 定義的。與傳統(tǒng)的SIEM不同，新一代SIEM不僅能夠從應(yīng)用程序和系統(tǒng) 中提取事件數(shù)據(jù)，還能夠在業(yè)務(wù)流程之上實(shí)現(xiàn)工作流自動化。例如，將響應(yīng)操作推送到防火墻或入侵防御系統(tǒng)(IPS)等設(shè)備，以 響應(yīng)檢測到的威脅。這使得新一代SIEM在能力上與SOAR相似，從 而在市場上弓|起了一定的混淆。6、威脅狩獵方面。

12、新一代SIEM集成了威脅狩獵(Threat Hunting ) 功能，能夠輔助安全運(yùn)營人員尋找網(wǎng)絡(luò)資產(chǎn)環(huán)境中的可疑活動和漏洞， 監(jiān)視威脅情報的反饋過程，以發(fā)現(xiàn)潛在的漏洞利用跡象和惡意的攻擊 者，進(jìn)而防止網(wǎng)絡(luò)資產(chǎn)設(shè)備被攻破。四,新一代SIEM和SOAR對比首先介紹一下MTTR(Mean-Time-To-Resolution,平均響應(yīng)時間) 和MTTD(Mean-Time-To-Detection ，平均檢測時間)兩個基本概念。MTTR最初起源于桌面支持業(yè)務(wù)，它表示某一問題從被首次報告到最終被技術(shù)人員解決所持續(xù)的時間。在網(wǎng)絡(luò)安全領(lǐng)域，MTTR被用來表示網(wǎng)絡(luò)安全事故從被首次發(fā)現(xiàn)到最終被安全運(yùn)營人員解

13、決之間的 時間跨度。MTTD表示攻擊者使用戰(zhàn)術(shù)和技術(shù)在目標(biāo)網(wǎng)絡(luò)上首次獲得立足到最終被網(wǎng)絡(luò)或終端安全設(shè)備檢測出來所持續(xù)的時間。BusinessCoSeaMea s uroSOARRernAdialeliw物劍isWorkflowThreat HuntingOecision MakingHuman Irterv-ention5收mti叫Source Gartrwr 10 34*Security Orchestration, Automation and Response; An OverviewPrioritizeRespondDetectTriageSOAR（Security Orchestra

14、tion, Automation, and Response , 安全編排、自動化和響應(yīng)）是由Gartner提出的新概念。Gartner對SOAR進(jìn)行了描述性定義：SOAR是一系列技術(shù)的合 集，它能夠幫助企業(yè)收集安全運(yùn)營團(tuán)隊監(jiān)控到的各種信息（包括各種 安全系統(tǒng)產(chǎn)生的告警），并對這些信息進(jìn)行事件分析和告警分診。然后在標(biāo)準(zhǔn)工作流程的指引下，利用人機(jī)結(jié)合的方式幫助安全運(yùn) 營人員定義、排序和驅(qū)動標(biāo)準(zhǔn)化的事件響應(yīng)活動。SOAR工具使得企 業(yè)能夠?qū)κ录治雠c響應(yīng)流程進(jìn)行形式化的描述。與新一代SIEM相同的是，SOAR旨在解決傳統(tǒng)SIEM所產(chǎn)生告 警爆炸以及企業(yè)缺乏網(wǎng)絡(luò)安全專業(yè)技能人才的挑戰(zhàn)，從而幫助企業(yè)有

15、 效地部署SIEM。SOAR可以根據(jù)事先的預(yù)案(Playbook)進(jìn)行編排和自動化，能夠 有效地簡化安全運(yùn)營人員的手工作業(yè)，消除了MTTR或MTTD循環(huán)中的人為錯誤，減少了單調(diào)繁重的威脅分析過程。與新一代SIEM不同的是，SOAR是一個將企業(yè)眾多的安全運(yùn)營 工具集成在一起的平臺，采用事件響應(yīng)預(yù)案讓眾多安全運(yùn)營工具自動 化執(zhí)行，當(dāng)然也可以通過安全運(yùn)營人員的單擊操作來執(zhí)行。此外，SOAR還為案例管理提供了一個的專用問題跟蹤系統(tǒng)(Issue Tracking System ，ITS)以用于編纂安全事件分析和響應(yīng)的工作流程。對比新一代SIEM和SOAR的最佳方法是將SIEM和SOAR分別 視作記錄系統(tǒng)和行動系統(tǒng)。這樣比較并沒有消除對 SIEM的需求，而 新一代SIEM與SOAR結(jié)合時，SIEM在減少M(fèi)TTD和MTTR方面更 有效，解決了安全運(yùn)營人員短缺的挑戰(zhàn)，并降低了 SOC中