引言

創(chuàng)新互聯(lián)建站專業(yè)為企業(yè)提供瓊山網(wǎng)站建設(shè)、瓊山做網(wǎng)站、瓊山網(wǎng)站設(shè)計、瓊山網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、瓊山企業(yè)網(wǎng)站模板建站服務(wù)，十余年瓊山做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

眼下很多單位的安全業(yè)務(wù)都深受”威脅檢測”問題的困擾。Mandiant安全公司在2018年的M-Trends報告中就指出，從攻擊開始到發(fā)現(xiàn)攻擊活動的平均時長是99天。在這個“貓捉老鼠”的游戲中，很明顯，現(xiàn)在這只貓還只是一只在喝奶的小貓咪。為了讓它迅速強(qiáng)大，眾多安全廠商開始鼓吹為這只嫩貓配備一個叫做“SIEM”的神器?？蓻]想到，投了錢，煩惱卻越來越多……

我曾在SANS開過一門“SIEM with Tactical Analytics”的課程，很多人認(rèn)為我是SIEM的絕對擁護(hù)者。當(dāng)然，我的確是，因?yàn)槲艺J(rèn)為SIEM是現(xiàn)有的、最強(qiáng)大的檢測解決方案之一。但是，“最強(qiáng)大”并不一定意味著“最好”。雖然我也希望SIEM能夠解決我們所有的問題，但事實(shí)并非如此。

甲方單位采購SIEM一般都會帶著下面這些美好的愿望：

• 快速的搜索和響應(yīng)時間
• 能夠與任何團(tuán)隊或個人盡可能精細(xì)化地共享數(shù)據(jù)
• 內(nèi)置威脅情報，突出攻擊者活動
• 零誤報
• 大數(shù)據(jù)及分析技術(shù)
• 機(jī)器學(xué)習(xí)或行為分析的自動化
• 數(shù)據(jù)關(guān)聯(lián)自動化

但實(shí)際部署后，除了最開始的采購?fù)度耄€會產(chǎn)生大量日常維護(hù)的費(fèi)用支出和人力成本。

從目前的SIEM技術(shù)及部署情況來看，上面提到的“美好愿望”都是不合理的。首先我們要明確的一點(diǎn)是，SIEM只是整個安全保障項(xiàng)目中的其中一部分，它是否能夠發(fā)揮作用仍然依賴于其它安全組件。

一、SIEM的五大常見問題

1. 收集的數(shù)據(jù)質(zhì)量越高，SIEM性能越好

明確收集哪些類型的日志比單純地收集日志更重要。

只簡單地部署一個SIEM起不到任何安全保障的作用——將數(shù)據(jù)加載到SIEM中才賦予了它真正的價值。那么問題來了：很多數(shù)據(jù)源并不理想，且大多數(shù)數(shù)據(jù)不易以二進(jìn)制“好/壞”的方式分類。比如，Windows日志的收集非常普遍，對安全操作人員來說，這是一個最好也是最糟糕的數(shù)據(jù)源。

對于剛接觸的安全人員來說，Windows系統(tǒng)甚至都不會記錄重要的事件日志，因?yàn)檫M(jìn)程和命令行日志、PowerShell日志和Windows驅(qū)動程序框架日志在默認(rèn)情況下都是不啟用的。但如果在未調(diào)試的情況下記錄所有日志，SIEM就會因?yàn)榇罅康臒o用數(shù)據(jù)而不堪重負(fù)。默認(rèn)啟用的Windows日志盡管作用很大，但也會產(chǎn)生大量的垃圾信息。日志的收集、解析和過濾是一門需要時間和耐心的藝術(shù)。另外，還要對日志的有效性進(jìn)行反復(fù)評估。

更何況，我們還沒有考慮數(shù)據(jù)如何輸入SIEM的問題。如果該日志由syslog(一種常見的日志傳輸協(xié)議)發(fā)出，那么管理員必須執(zhí)行解析。這就意味著該日志在SIEM中的狀態(tài)可能已經(jīng)丟失了原始事件中的某些數(shù)據(jù)和環(huán)境信息。還是以Windows為例，單個Win10系統(tǒng)在本地二進(jìn)制XML日志結(jié)構(gòu)中有超過800個字段。然而，大多數(shù)SIEM對日志源進(jìn)行解析、削減和轉(zhuǎn)換后就只有200個字段了。

這個結(jié)果就像你本來是可以開跑車的，卻去騎了馬。你能走多遠(yuǎn)，取決于你收集了什么數(shù)據(jù)、通過什么樣的方式收集。

2. SIEM要與實(shí)際案例相結(jié)合

SIEM無法將信息安全領(lǐng)域的專業(yè)知識和日志應(yīng)用與你的具體需求實(shí)現(xiàn)自動化結(jié)合。一旦數(shù)據(jù)進(jìn)入SIEM，就需要你來告訴SIEM應(yīng)如何處理這些數(shù)據(jù)。簡單來說，就像我們買了一個玩具，玩具本身是不帶電池的，需要我們準(zhǔn)備好電池并完成準(zhǔn)確的安裝。SIEM就是一個很酷的玩具，但是木有電池……

你是否也有過這樣的經(jīng)歷，詢問某個廠商關(guān)于他們SIEM產(chǎn)品的告警規(guī)則或檢測攻擊者所使用的技術(shù)，卻只得到“每個單位都不一樣”這樣的回答?雖然一定程度上的確如此，但還是有一些基于常見攻擊方法的技術(shù)具有普適性。下面我舉兩個例子：

• MITRE ATT&CK：這個開源框架是攻擊方法與行為的模型。防御者可以用它來識別攻擊者可能使用的技術(shù)方法，查看他們的流程和控制措施，從而找出檢測和預(yù)防覆蓋面中的不足。
• Sigma：這是一種SIEM的中性規(guī)則語言，可用于編寫支持任何環(huán)境及任何SIEM的規(guī)則。為了使這個概念發(fā)揮作用，轉(zhuǎn)換過程采用SIEM非自動編寫的規(guī)則，適用于特定的SIEM。

總而言之，SIEM+應(yīng)用案例=幸福的婚姻。不與實(shí)際應(yīng)用相結(jié)合的SIEM早晚都會“離婚”，SIEM的“誓言”、“信任”以及強(qiáng)大的檢測功能都將形同虛設(shè)。

3. 數(shù)據(jù)越多并不等于檢測功能越強(qiáng)大

大數(shù)據(jù)時代已經(jīng)來臨。安全運(yùn)營團(tuán)隊正在爭先恐后地收集他們可以得到的所有數(shù)據(jù)。除了搶房，還要搶數(shù)據(jù)。

最常見的錯誤就是SIEM中充斥著大量無用的數(shù)據(jù)，我把這種現(xiàn)象稱之為“茶歇SIEM”——即使是簡單的搜索，也需要數(shù)秒或更長時間才能完成。如果一位分析師一直都在等待搜索結(jié)果，那么他們可能就會自然而然地選擇值得搜索的內(nèi)容，即返回結(jié)果最快的。

SIEM需要的是增強(qiáng)分析，而不是阻礙分析過程。簡單來說，less is more(過猶不及)。數(shù)據(jù)越多，SIEM性能反而越差，分析師掉的坑也就越多。

4. 缺乏環(huán)境

一個好的SIEM應(yīng)由分析師構(gòu)建，為分析師服務(wù)。也就是說，當(dāng)分析師查看警報或日志時，SIEM能夠提供有利的環(huán)境信息。如今市場中大多數(shù)SIEM在日志豐富化(log enrichment)或?yàn)槿罩咎砑迎h(huán)境信息方面的功能都很完善。但是，在實(shí)際部署中，相對于log enrichment，很多人都更加注重數(shù)據(jù)的收集。

例如，如果一個分析師正在查看“covertc2.com”這個正在被訪問的可疑域名。一個DNS日志包含域名、源IP和目的IP報頭信息、產(chǎn)生的IP地址以及DNS記錄類型。這些信息是否足以讓分析師確定該域名為惡意、可疑還是良性?很明顯，僅根據(jù)這些有限的數(shù)據(jù)作出的決定肯定存在偏差。

現(xiàn)在請你想象一下，如果SIEM添加了以下這些環(huán)境信息，你能夠推測出什么?

• 該域名不在訪問的前100萬個網(wǎng)站中。
• 該域名注冊于2016年11月1日。
• 該IP與伊利諾伊州的一家企業(yè)有關(guān)。
• 該IP屬于Total Server Solutions L.L.C.。
• 該域名未出現(xiàn)在威脅情報數(shù)據(jù)庫中。
• 該域名看起來并非隨機(jī)生成。

這些環(huán)境信息并不能讓分析師百分之百地確定善惡，但無疑為分析師提供了很多背景信息，能夠幫助他們作出更加明智的決定。

5. 重心偏離：過多關(guān)注SIEM的維護(hù)

說來也怪，很多單位都能接受SIEM的一大弱點(diǎn)——人力成本(有時甚至是一筆巨額開銷)。他們會聘請專家或要求現(xiàn)有團(tuán)隊為數(shù)據(jù)收集和SIEM的維護(hù)提供支持。因此，最后造成的局面就是該單位沒有發(fā)揮SIEM的服務(wù)價值，反過來消耗大量資源來“伺候”它。這方面的人力投入如果放在其它地方，完全可以實(shí)現(xiàn)更大的價值。

如果你花80%的時間在SIEM的維護(hù)上(代理部署、日志解析、系統(tǒng)升級)，那么你就很可能永遠(yuǎn)無法實(shí)現(xiàn)SIEM價值的最大化。自動化對于一個成功的SIEM實(shí)施方案來說太重要了。你的環(huán)境是不斷變化的，“自動化”也應(yīng)緊跟步伐，只有這樣才能將你的時間花在戰(zhàn)術(shù)實(shí)施方面。

二、應(yīng)用案例：6周 vs. 14個月

關(guān)于第5個問題，我們來看一個實(shí)際案例。我曾供職的一家公司推出了一個SIEM解決方案。該項(xiàng)目中有15個全職員工，項(xiàng)目總時長14個月。一年以后，他們暫停了項(xiàng)目，反思SIEM實(shí)現(xiàn)了什么功能、為公司創(chuàng)造了什么價值?；仡櫧Y(jié)果并不理想。14個月以后，他們?nèi)匀惶幱跀?shù)據(jù)收集的狀態(tài)，檢測功能依然無法發(fā)揮作用。

后來我有幸介入了這個項(xiàng)目。在不到一個月的時間內(nèi)，推出了一個全新的方案：利用自動化技術(shù)部署日志代理、數(shù)據(jù)收集、數(shù)據(jù)源部署，修改或禁用默認(rèn)或預(yù)警警報，并根據(jù)已豐富的日志數(shù)據(jù)實(shí)施新的警報機(jī)制。

直到第6周快結(jié)束時，不到5個正式員工所輸出的解決方案超過了15個人花了14個月的工作成果。顯然，改革后SIEM的投資回報遠(yuǎn)超預(yù)期。

三、采購SIEM的6大關(guān)鍵前提

一個成功的SIEM方案必須具備以下條件：

• 員工具有專業(yè)的信息安全知識背景
• 員工具備對SIEM產(chǎn)品的充分了解
• 數(shù)據(jù)豐富功能
• 支持自動化
• 對重要數(shù)據(jù)的收集與利用
• 檢測功能與實(shí)際應(yīng)用相結(jié)合

機(jī)器學(xué)習(xí)和行為分析也是非常重要的技術(shù)組成部分。但是在你還沒有做好上述準(zhǔn)備之前，暫且不要將精力全部放在機(jī)器學(xué)習(xí)或行為分析上。一個已達(dá)到上述6個前提條件但尚未實(shí)現(xiàn)自動檢測功能的SIEM應(yīng)用單位將比沒有做好準(zhǔn)備卻專注于自動捕捉異常行為工具的單位更具潛力。

關(guān)鍵要點(diǎn)

根據(jù)一般的經(jīng)驗(yàn)法則來看，SIEM更適合成熟的、有經(jīng)驗(yàn)的安全團(tuán)隊來操作。當(dāng)然，這也不是硬性規(guī)定，我同樣也看到過很多初級團(tuán)隊成功部署SIEM并取得正向結(jié)果。他們能夠?qū)IEM很好地與部署環(huán)境相結(jié)合，并實(shí)施像防火墻規(guī)則這樣的安全控制措施。但大多數(shù)情況下，很多團(tuán)隊都是莽撞地加入SIEM大軍，迎面即遇上了我上述列舉的五大問題。

關(guān)鍵要點(diǎn)如下：SIEM絕不能成為展開安全保障的切入點(diǎn)，尤其是在剛成立安全部門的情況下。一口吃不成胖子，首先要從最基礎(chǔ)的做起。終端安全解決方案、網(wǎng)絡(luò)分段、防火墻等等在安全防御方面路漫漫其修遠(yuǎn)兮，但是對于檢測功能的實(shí)現(xiàn)卻尤為必要的。完成基礎(chǔ)內(nèi)容后，下一步當(dāng)然也不是立馬去買個SIEM回來。只有當(dāng)你符合上述要求時，才可以推進(jìn)SIEM的購買和維護(hù)。

我希望以上的觀點(diǎn)能夠幫助你的團(tuán)隊規(guī)避SIEM的常見問題，成為威脅檢測戰(zhàn)役中的常勝將軍。

當(dāng)前題目：花錢買罪受？SIEM的五大常見問題
文章位置：http://uogjgqi.cn/article/ccohsce.html