一定规模的安全公司几乎都会有套昂贵的SIEM系统。出于各种原因,SIEM曾经一度处于安全运营和事件响应的中心位置。但随着时间流逝,安全运营工作流越来越复杂,公司企业能从SIEM中获得的价值已大不如前。但这并不是说公司企业应马上完全摒弃SIEM。
创新互联是一家以网站建设公司、网页设计、品牌设计、软件运维、营销推广、小程序App开发等移动开发为一体互联网公司。已累计为成都人造雾等众行业中小客户提供优质的互联网建站和软件开发服务。
[[229414]]
事实上,正好相反,公司企业应敦促SIEM提供商满足2018的安全运营需求,而不是二十年前的。而一旦这些遗留系统真的达不到当今的要求,可能也就到了该换个选项的时候了。
基于此,特给出和传统SIEM说再见的10个理由:
1. 攻击不是线性的
大多数SIEM按行呈现其摄入的数据。换句话说,线性输入线性出。然而不幸的是,攻击者和攻击本身却并不总是线性的。瞪着一张事件列表并不能帮你找出可疑或恶意行为。
2. 关注数据价值而非其数量
人们总想把所有能接入的数据源上的数据都收集起来。但你有没有想过这些源对安全运营有没有价值呢?如果没有,还有必要收集了存起来吗?收集来的每份数据都会缩短现有存储空间的寿命,降低调查分析的效率。数据收集应更聪明些,而不是更努力些。
3. 太多工具
大多数安全公司持有的安全工具数量都十分惊人。有这么多工具可用的同时,需要每种工具满足多种不同操作需求的时代也来临了。随着安全运营行业的成熟,对SIEM的要求已超出了大部分传统供应商的能力范围。
4. 内部流量
包括SIEM在内的很多安全解决方案,都重度依赖边界流量来提供可见性。但很不幸,边界内部也是有很多很重要的东西的。横向移动、内部应用误用和凭证窃取之类的事通常都发生在公司内部。然而,公司内部恰恰是很多公司企业都难以获得足够可见性的地方。视而不见或不闻不问要不得。
5. 数据切分
大多数安全分析员通常都有才、聪明、有创造性。他们需要能够构建复杂查询的工具来切分数据,以便能够调查可疑行为,并发现其他需要注意的活动。另外,速度和效率也很关键。不应该耗费数小时才可以知道给定类型的行为是否曾经出现过。
6. 关联
安全团队需要工具将相关事件关联起来。至少安全工具应该是辅助而不是阻碍分析师做这些关联。除此之外,现代工具还应能在分析师着手之前就自动关联某些相关数据。
7. 上下文
描述清楚事件可以让安全团队做出及时准确的决策。这涉及到从不同数据源收集各种支持性证据揉合成重要的上下文,而不是直接抛出缺乏上下文的事件。不支持这种程度的调查自由度,或者没办法自动化其中一部分工作的工具,在2018年是没有市场的。
8. 更智能的内容构建
无论公司企业的检测技术多么紧跟潮流常换常新,总有改进的空间。如果你已经有了精英安全团队,他们很可能会对传统SIEM系统那有限的分析和查询能力感到绝望。他们脑中有关新检测技术的构想,需要现代工具帮助他们挖掘出来并加以实现。
9. 更平滑的调查
只要用过传统SIEM调查事件,就会很快发现这调查过程磕磕绊绊一点都不平滑。今天的调查要求工具拥有足够的灵活性和功能性,要能对各式各样的大量数据做深入查询。
10. 新方法
人工发展警报逻辑是非常重要的活动,但也有可能是效率极低的做法。自动化分析方法已经成熟到了可以产出价值附加警报的程度,为安全运营工作流带来效率。当然也有工具并不具备足够的分析严谨性,会产生大量误报和噪音。不过,有一部分精选工具可以产生人类可能没识别出的高保真可靠警报。虽然步伐缓慢,但这一功能必然会成为现代安全团队必备品。
当前标题:和传统SIEM说再见的10个理由
本文路径:http://www.shufengxianlan.com/qtweb/news47/21547.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联