从Garnter2023年北美安全与风险管理峰会看SIEM和SOC的发展趋势
发布日期:2023-06-20 作者: 来源: 分享:
语音阅读 2023-06-20 14:04#Gartner 18 个 #secops 6 个 #SOC 24 个 #SIEM 13 个 2023 年6 月5 日至7 日,Gartner 最重要的网络安全盛会——北美安全与风险管理峰会——在美国召开。本次会议有来自Gartner 的71 位分析师登上讲台,240 家企业参展。会上,来自Gartner 的SIEM 和SOC 领域的关键分析师悉数亮相,分享了他们对于未来SIEM 和SOC 发展的见解。
SIEM的生与死 SIEM 能否满足当前快速变化的安全需求?SIEM 是否已经不堪重负?面对新兴的技术和产品,SIEM 是否会走向消亡?SIEM 产品在二十多年的发展进程中,曾多次遇到过类似的疑惑,但从来没有哪次像这两年一样面临如此巨大的挑战。Gartner 分析师Eric Ahlm 在题为《安全运营展望2023 》的演讲中将新技术和产品(尤其是XDR )对SIEM 的挑战比作天地大碰撞。SIEM 会毁灭吗?还是在被撞击后重获新生?Eric Ahlm 表示,“好消息是这不是一次SIEM 灭绝事件,但是时候重新掂量SIEM 在SOC 中的价值了”。Gartner VP 分析师PeteShoard 在题为《SIEM 的未来和TDIR 的演进》的演讲中,给我们展示了多个SIEM “被死亡”的节点。他坚定地认为,SIEM 还会好好活着!Gartner 认为,SIEM 作为一个细分市场、一个术语不会消亡,但SIEM 的内涵和外延却已不再似以前,而这也恰恰体现了SIEM 自身特有的与时俱进能力。
重新定义和定位SIEM 在大会上,Pete Shoard 给出了SIEM 的最新定义,并表示会更新到今年的SIEM 魔力象限报告中。
定义:SIEM 平台提供了一个可配置的安全记录系统,帮助组织识别和报告需要调查的感兴趣事件。它也协助组织对可能导致损害的已发现事项进行验证与响应。 作为对比,这里列出2022 年魔力象限报告中的SIEM 定义:SIEM 将跨应用、网络、端点和云环境的各类监测、评估、检测及响应系统的事件数据聚合起来,以实现基于关联规则和UEBA 的威胁检测,基于SOAR 的响应集成,基于TIP 的威胁内容持续更新和安全报表报告。 可以发现,之前的SIEM 定义中对功能的描述较为具体,而新的定义则抓住调查、验证、响应三个关键能力进行简洁的概括,内涵较之前更为丰富。 进一步分析,多年以来SIEM 定义的核心都是数据的采集与分析,即以数据为中心。从技术架构上来,数据驱动安全没毛病。但正如Gartner 所说,当前的实际情况表明,在经历多年的大数据时代后,更多的数据并不意味着更多的安全价值,数据的边际效益正在递减。同时,市场上出现了越来越多的具备检测和响应能力的产品种类。也就是说,检测与响应能力越来越分散到不同的安全系统之中。因此,对用户而言,数据分散问题虽依然存在,但重要性正在下降,而安全系统(尤其是安全检测与响应系统)的分散问题越发凸显。这就需要SIEM 平台在保持大数据分析架构的前提下大幅增加对异构安全系统的集成能力(Gartner 称之为相容性——Compatibility ),而这也正是安全网格架构(Cybersecurity MeshArchitecture )产生的原因。总之,当前SIEM 的外延已经从数据集成扩展到了系统集成。 既然SIEM 被重定义了,那么是否可以将新定义的SIEM 命名为下一代SIEM (NG-SIEM )或者SIEMX.0 呢?对此,Gartner 的态度也是明确的,如下图所示。 Pete Shoard 表示,那些不能从历史中吸取教训的人才会去不断发明所谓的下一代SIEM 。SIEM 就是SIEM ,它不会被取代,也不会变成NG-SIEM 。SIEM 定义的演进是SIEM 内在的特征,SIEM 从一开始就被定义为具有极强的扩展性,能够随安全格局的演变而演进。SIEM 未来的定义还会继续变化。在笔者看来,这种不断演进的SIEM 定义正是SIEM 的优势所在,因为SIEM 代表了一种自顶向下的体系化安全运营建设需求。 那么,为什么SIEM 能在与XDR 等一众聚焦检测与响应领域的产品细分市场的竞争中存活下来呢?这里撇去SIEM 领域日渐式微的合规性功能【笔者注:事实上这类功能越来越向GRC 合规管理中心转移】不谈,Gartner 认为最关键之处还在于SIEM 自身的开放性。从用户侧而言,发展到一定阶段必然需要一个统合全局网络安全监测与响应的,紧密结合用户自身业务实际的安全平台,而这个安全平台必然需要高度的开放性,包括可配置性和可定制性,而这正是SIEM 所追求的。从这个意义上而言, XDR 及其它专项DR 类产品都是可以与SIEM 协作的。 可以说,开放性体现了SIEM 区隔于其它产品的独特性,也体现了SIEM 的核心定位,即服务于有定制需求的客户。SIEM 产品肯定不止服务于有定制需求的客户,根据Gartner 2022 年的《SIEM 关键能力》报告,SIEM 用例还包括开箱即用SIEM 和作为TDIR 平台使用。对于SIEM 而言,真正受到挤压的是开箱即用SIEM 用例所涵盖的市场。 凡事皆有两面性。SIEM 开放性的另一面正是其高度复杂性,以及由此带来的对SIEM 落地实战能力的长期诟病。本质上,SIEM 作为应对客户复杂安全需求(将不断变化的异构数据和系统集成起来实现全局的监测与响应)的一个产物,必定也是复杂的。但是从产品和解决方案的角度,我们可以将SIEM 的复杂性进行转移,尽可能地从用户侧转移到厂商侧。注意,这里说的是转移,不是消除!这种转移可以表现为SIEM 产品中内置丰富的安全内容(包括策略、规则、报表模板、算法模型等),可以表现为SIEM 产品提供更流畅的交互式设计和分析师体验,可以表现为提供丰富的产品附加服务(Gartner 称之为VDSW ——供应商交付的产品打包服务),也可以表现为托管安全服务。这些都是降低用户落地SIEM 复杂度的良好实践,本质上是由厂商更多地承担起SIEM 的落地复杂性,通过厂商丰富的安全经验将这些复杂性工作打包成可传递的知识(包括易用的UI 、丰富的安全内容、有经验的服务人员等),提供给客户。
SIEM的三个发展趋势 Pete Shoard 在大会上向大家介绍了三个SIEM 未来发展的趋势:1 )存储从联邦式向分布式转变;2 )伴随着社区的繁荣,安全内容市场逐步壮大;3 )出现新的、基于事态(Event-Based )的用例(使用场景)。对于第一点,Gartner 认为SIEM 将从现在流行的联邦式大数据分析架构向更加完全的功能去中心化分布式架构方向发展。数据在哪里已不重要,功能的网格化才是重点,API 是关键。 对于第二点,本质上就是知识分享从过去的厂商与用户之间的单向传递,变成厂商、用户、第三方之间的双向分享。这是一种知识变现,会带来新的业务模式和商业机会。
从SIEM到TDIR 既然SIEM 将依然存在,并还将是SIEM ,那么Gartner 发明的TDIR 又是什么呢?它是SIEM 的替代品吗(如果是,不就前后矛盾了吗)?跟SIEM 是什么关系? 对此,Pete Shoard 表示,现在的威胁检测类产品的市场术语都是从如何(How )做检测的角度来定义的,譬如SIEM (通过事件去做检测),NDR (基于网络的检测),EDR (基于端点的检测),这样的术语定义造成该品类产品的称谓庞杂。因此,Gartner 改为从“什么是检测”(What )的维度去定义这类产品,进而提出了TDIR 缩略语,用威胁检测类产品最核心的三个要素——检测、调查和响应——来命名这个产品大类。笔者体会,TDIR 这个术语更适合用户视角,而原来的那些术语则更倾向于厂商视角。 进一步地,Gartner 认为具体是基于网络、终端,针对身份还是云都不是用户在考察TDIR 类产品时最关键的视角。对于TDIR 类产品,用户真正需要关注的四个方面是:用例(应用场景)、相容性(与用户现有安全体系的集成与协同)、技能集合(人员、流程和服务)和遥测能力。而每个TDIR 厂商则需要重点从这四个维度去构建自己的产品竞争力。 对于SIEM 和TDIR 的关系。Pete Shoard 表示,“TDIR 代表了多种解决方案的集合,而SIEM 是TDIR 类解决方案集合中的一种解决方案。SIEM 不是检测响应类产品的融合,而是达成检测并有时候进一步实施响应的一种方式。” 在另一个题为《SIEM 魔力象限和关键能力》的演讲中,分析师Mitchell Schneider 为与会者展示了一幅图,如下所示。 笔者没有听到分析师的演讲,不知道他是如何解读上图的。笔者猜测,Mitchell Schneider 想要表达的正是TDIR 更可能作为一系列威胁检测类产品或者具备威胁检测功能的产品的集合称谓,即XDR 、EDR 、SOAR 、SIEM 甚至案例管理都可以看作是TDIR 的用例。 最后,笔者认为,对于广大SIEM 和XDR 领域的从业者而言,未来究竟如何,不是自己说啥就是啥,也不是Gartner 说啥就是啥(Gartner 只是一个重要的牵引力量,最终还要看用户的选择),而是要靠干出来的。因此,让我们拭目以待。
SOC建设的四个要点 安全运营需求、理念和技术的变化不仅带来了SIEM 的变化,也促动了SOC 的演进。随着云技术和远程办公的普及,Gartner 将SOC 看作是一组安全运营能力的集合,而不再是一个地点,那种很多人坐在一个墙上挂着超大屏幕的屋子里,盯着大大小小屏幕工作的场景正在成为过去。分析师Eric Ahlm 在《你的SOC 是不是现代SOC 》的演讲中,向大家提出了建设现代化SOC 的四个要点:采用混合运行模式、优化检测技术栈、聚焦日常自动化和施行基于度量的迭代演进。
随着网络安全的挑战日益严峻,用户方在资源和能力方面面临的瓶颈越发明显,完全依靠自身的力量已经难以将SOC 运行起来。Gartner 展望2023 ,认为以后所有的SOC 都将是混合型SOC ,即或多或少都要依靠外部力量,借助各种安全服务,弥补自身在SOC 规划、建设和运行时的人员岗位缺口和能力缺失。此外,对于那些坚持采用单纯依靠自身运行的SOC 的用户,Gartner 建议其运营团队人员应不少于12 人,否则无法真正将SOC 运行起来。
如前所述,用户要重新审视SIEM 在SOC 中的价值,SIEM 不能在SOC 技术平台中包打天下。Gartner 建议用户在构建SOC 技术平台的时候,将SIEM 技术栈进行拆解,用其它技术替换掉SIEM 中过时或低效的部分,同时引进一些新的功能(尤指XDR 和暴露面管理),并更好地与其它技术协同起来。而分析师Neil MacDonald 在《新兴安全市场趋势和增长机会》主题报告中就直接建议厂商引入多遥测数据融合分析技术,淘汰或升级旧有的SIEM ,加入主动安全监测,还建议安全托管服务商增加暴露面管理和事件响应服务。
Eric Ahlm 表示,高大上的端到端的运营级流程自动化还太过遥远,当前用户更需要的是(较小粒度的)日常运行活动自动化。因为安全流程(Process )天生就是易变和动态的,存在很多分支情况,要完整进行描述十分困难,会耗费大量设计开发精力,而跨部门的流程更难。在当前管理和技术条件下,要实现全面流程级别的自动化代价太高。相反,对构成安全运行流程的安全活动(Activity )进行自动化则更切和实际且更高效。在流程层面,更适合通过人工和半自动化的方式将相关的活动串起来。对此,笔者完全赞同,笔者参与设计的SOAR 系统正是秉持这个理念。在实现流程和活动自动化方面,SOAR 并非唯一选择,而是存在三种技术路线:从具备最高灵活度的SOAR 平台,到SIEM 和ITSM 中嵌入的简化版自动化工具,再到XDR 或其它DR 类产品中预置的自动化功能。 对于用户而言,选择哪种技术路线的产品和系统取决于自身的实际需求和未来发展规划。
Gartner 反复强调,SOC 建设是一个持续迭代的旅程,至少要在计划、排序、构建、运行、汇报、成熟6 个阶段迭代三次。这个迭代旅程,是SOC 能力不断增强,成熟度不断提升的过程。这个过程必须在量化的安全指标牵引下演进。SOC 的度量指标设计要跟当前的成熟度相适应。如上图所示,在进入“主动监测”阶段后就应该引入正式的指标体系去度量SOC 有效性和价值。此外,面向不同层级和职责的上级,汇报的指标应该具有针对性,切忌出现“鸡同鸭讲”。分析师AlexMichaels 在《现代化高绩效SOC 的演进和期待》主题报告中就列举了一个悲催的示例,如下图所示。 Gartner 表示,对于单位高管级领导,要用他们听得懂的业务指标(而不是运营指标)和业务术语去汇报,对于CIO 和更高级领导,要采用结果驱动的指标(Outcome-Driven Metric )设计方法论输出业务价值导向的指标。
结语 安全威胁形势越来越严峻,安全防御越来越强调实战化,强调结果导向,安全运营越来越重要。围绕网络威胁防御这个核心,SIEM 的内涵和外延正在不断演进,而SOC 的方法论也日渐成熟。包括SIEM 和SOC 在内的安全运营天然是一个复杂性问题,做好安全运营没有捷径,唯有持续迭代提升。这就好比唐僧师徒西天取经,孙悟空、筋斗云、金箍棒是取经路上拼杀的利器,但却无法让他们直接抵达西天。如果我们把XDR 、ChatGPT 、AI 看作是安全运营的新利器,也依旧不能确保安全运营成功。
