实现以数据驱动的高级威胁检测和响应
日期:2022年12月16日 阅:80
SIEM技术现已应用了约20年的时间,其早期产品的用途主要是帮助用户更好地进行日志管理和满足法规遵从性要求,很少应用到威胁检测与响应中。然而,由于现代企业的威胁攻击面不断扩大和对未知攻击的担忧不断增加,安全团队需要实现由数据驱动的威胁检测和响应能力,新一代SIEM产品也随之产生。
新一代SIEM的能力演进
目前,行业对新一代SIEM还没有一种明确或普遍接受的概念。然而,我们可以从Gartner给出的SIEM定义中来进行分析:SIEM是一种技术,旨在通过收集和分析安全事件以及上下文数据源,来实现或支持威胁检测、合规和安全事件管理。
这个定义可以套用到新一代SIEM的概念中:新一代SIEM比传统SIEM更先进,利用新一代大数据技术和数据建模技术,提供经过改进的数据汇集流程和用户界面/体验,并提供额外的威胁检测和处置功能,比如实体行为分析(UEBA)以及SOAR开放式集成。
通过对传统SIEM系统进行更有力的升级,企业用户将可以获得更准确的分析结果,并且不受过时技术框架和流程的制约。新一代SIEM的新功能可能因厂商而异,但通常都会具备以下典型功能。
未来属于开放式XDR?
虽然新一代SIEM与上一代相比有了重大飞跃,但研究人员认为,改进后的SIEM系统仍然会存在一些缺点:
由于SIEM技术存在以上难以根本性解决的难题,一种开放式XDR技术开始出现,并被视为是完善SIEM技术应用不足的有效补充,甚至有观点认为,开放式XDR技术将成为SIEM的替代者。
从产品的应用目标上,开放式XDR技术与新一代SIEM技术有很多相似之处,主要是通过数据聚合和分析,帮助企业提升对威胁的检测和响应能力。但开放式XDR采用了和新一代SIEM完全不同的技术框架,更易于实现多种安全数据和能力的集成。开放式XDR框架要求所有的安全数据必须先经过统一的规范和提炼,然后才能存储到数据湖或大数据处理系统,这与传统SIEM的做法形成了鲜明对比。由于对收集和存储的安全数据进行了高质量的处理,这使开放式XDR得以最大限度地发挥人工智能的优势。
此外,开放式 XDR可以借助不同的安全控制措施来应对各位威胁风险,并使用的统一控制界面来保障用户的安全运营体验,让安全运营人员在一个平台上轻松应用UEBA、SOAR、NDR、EDR及其他各种工具和技术。
不过,尽管开放式XDR从理论上看更先进,但是目前在产品化落地中却还不够成熟,因为目前尚缺乏统一的XDR技术行业标准,因此在不同厂商能力的标准化整合过程中,其实现效果还需要进一步观察和验证。
结语
网络安全威胁形势在持续地变化,实现数据驱动的安全能力建设是企业用户的必然选择。目前,下一代SIEM和开放式XDR都是企业组织在加强网络防御时可以考虑的方法,不过它们也都存在了一些不足与挑战。
企业组织需要积极采用更先进的技术方法来扩展威胁检测和响应能力。然而,这并不意味着组织应该盲目地采用新技术和新产品。充分了解自己的应用需求,然后选择合适的技术产品,这对威胁检测和响应能力的提升非常重要。有时候,尝试选择多种不同的方法可能必不可少,因此,部署替代或补充型的解决方案也是企业应该考虑的建设方法。
参考链接: