• 欢迎访问安全专题网站,安全专题信息,安全专题教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入安全专题 QQ群
  • 安全专题现已支持滚动公告栏功能,兼容其他浏览器,看到的就是咯,在后台最新消息那里用li标签添加即可。
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏安全专题吧

SOAPA来临,SIEM时代终结?

安全事件 aqzt 2年前 (2016-12-19) 282次浏览 0个评论

安全信息和事件管理(SIEM)产品及服务负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件中收集安全日志数据,并进行分析和报告。有些 SIEM 还可以试图阻止它们检测到正在进行的攻击,这可能帮助阻止破坏或者限制成功攻击可能造成的损坏。但是这段时间 SIEM 似乎遇到了强有力的挑战,现在的市场在推一种名叫 SOAPA 的概念,有些人说它会取代 SIEM,果真如此吗?

SIEM 从 2005 年正式诞生到现在,也就 10 多年时间。这段时间内,SIEM 经历了从周边安全事件关联工具到安全分析系统的演变,最后成为一枝独秀。其早期供应商 eSecurity,GuardedNet,Intellitactics 和 NetForensics 也早已随着时光流逝不复盛况。今时今日,SIEM 市场被 LogRhythm,McAfee,HP,IBM 以及 Splunk 等一些寡头垄断。

SOAPA 来临,SIEM 时代终结?

SIEM 供应商概貌

而且有些激进分子认为 SIEM 是一种过时的的技术。他们认为,日志管理和事件关联根本无法跟上网络安全的发展的步伐。因此,我们需要新的技术来改变这种境况,比如人工智能、机器学习算法以及神经网络来对实时安全数据进行处理和分析。

还有一群“帮凶”也在无形之中给予他们支持,这群“帮凶”就是行业分析师,一些行业分析师唱衰 SIEM,大肆宣扬“SIEM 死亡论”。难道 SIEM 真的已死?其实也未必。企业的安全运行和分析需求迫切需要将以前的技术整合成一个新的东西。

SOAPA 是什么?

于是乎,被 ESG(Enterprise Strategy Group-企业战略集团)称作 SOAPA( a security operations and analytics platform architecture –安全运作和分析平台架构)的平台应运而生。这个平台包含类 SIEM 的功能,并且,SIEM 本身的功能在其中仍然扮演着十分重要的角色,这些功能会将分析过的数据汇总到公共库中存储起来。与过去一枝独秀的地位不同,现在的 SIEM 只是 SOAPA 平台中的某一个组成部分。这些技术设计需要以异步协作作为前提,这样才能让安全工程师迅速通过工具找到数据并根据需要采取行动。

SOAPA 是一个动态的架构,这意味着随着时间的推移,新的数据源和控制平面还会递增。另外,SOAPA 本身就是基于 SIEM 开发的,那么 SOAPA 是否本身就只是个新的营销噱头呢?实际上,除了有与 SIEM 类似的功能之外,SOAPA 还有以下的几个功能模块:

端点检测/响应工具(EDR

安全分析家经常想要通过监测和调查主机行为深挖安全警报,所以EDR(这个领域的主要玩家有 Carbon Black,Countertack,CrowdStrike,Guidance Software 等)成为了 SOAPA 的重要组成部分。我们在先前的 Carbon Black 分析文章中提过,EDR 是一个类别工具和解决方案,专注于检测、调查和减轻在主机或端点的可疑活动。

事故响应平台(IRP)

我们知道,网络专家的工作除了收集,处理和分析数据的安全性之外,还需要尽快给警报排定优先级以及处理这些警报。基于上述需求,Hexadite,Phantom,Resilient System(IBM),ServiceNow 和 Swimlane 等 IRP 平台相继诞生。

网络安全分析

SIEM 的日志分析和 EDR 主机行为监控都会由 SOAPA 中的流量和数据包分析来执行,这部分市场的主要玩家包括了Arbor Networks,Blue Coat/Symantec,思科(Lancope)和 RSA。

UBA /机器学习算法

虽然 UBA、机器学习等工具被业界过分炒作,但毫无疑问,机器学习在今后会大有作为,肯定会用于安全分析,正因为如此有潜力,业界大佬,如 Bay Dynamics,Caspeda (Splunk), Exabeam,Niara,Sqrrl and Varonis 等都应该出现在 SOAPA 阵营中。

漏洞扫描器和安全资产管理

了解哪些警报需要优先级处理,是安全运行的重要组成部分。如果要做出这个决策,我们就不得不借助漏洞管理系统(如 Qualys,Rapid7,Tanium)中的可靠数据和其他工具(这些工具监控系统状态和网络配置)来驱动,在这些数据和工具的帮助下,我们才可以做出决策。

反恶意软件沙箱

我们知道,有些针对性攻击可能会采用 0day 恶意软件来发动。有了这项技术后,我们就可以很容易的对这类攻击进行更充分的理解了。FireEye,Fidelis 和趋势科技的沙箱肯定会成为 SOAPA 的一部分。

威胁情报

威胁情报也就是:“对敌方的情报,及其动机、企图和方法进行收集、分析和传播,帮助各个层面的安全和业务成员保护企业关键资产。” 

通常情况下,为了自己的企业安全,企业组织想要将内部网络异常与外部的恶意软件活动作对比,以收集情报,化解危险。正是因为企业有这个需求,SOAPA 才延伸到威胁情报的来源和其他平台(如 Brightpoint,FireEye/ iSight 的合作伙伴,RecordedFuture,ThreatConnect,ThreatQuotient 等)。

除了技术本身之外,这里还有一些关于 SOAPA 的其他想法:

1、除了安全工具之间的数据交换,下一个较大的创新将来自于由中央 SOAPA 指挥和控制的安全基础设施的分析和管理(如配置管理,策略管理等)。

2、市场方面,市场已经在朝着 SOAPA 这边偏移。IBM 对 Resilient System 的收购,Splunk 对 Caspida 的收购以及 Elastic Search 对的收购就是对这个趋势的最好见证。

3、众所周知,McAfee 已经从英特尔独立出来,预计这家公司会投资其企业安全管理平台,以壮大自己在这方面的优势。另外,McAfee 也在加快步伐,将自己的工具和生态伙伴与 SOAPA 技术集成起来,以及进行一些相关的收购,以填补架构方面的欠缺。

4、从上文可知,SIEM 仍然在 SOAPA 中处于核心地位,它的优势还是比较明显,鉴于此,一些企业(CA?Palo Alto? Symantec? Trend Micro?)或许会对 LogRhythm 进行收购,以抢占先机。

5、以上提到的各个技术要素都可以在内部或通过 SaaS 传递。因此 SOAPA 必须足够灵活才能适应这些选项。

6、在搭建 SOAPA 时,规模要足够大,特别是企业组织提高了云计算和物联网使用比例后,对规模这一需求就变得更为急切。我们也相信,云分析和存储在未来会成为 SOAPA 的一部分。

7、就目前的形势来看,一部分供应商可能提供自己专有的解决方案,但有些企业客户应该就不会买账了,他们有可能不采用单一供应商的解决方案,他们在搭建 SOAPA 方案的时候,会和那些比较一流的供应商和生态合作伙伴一起合作。而实力不足的中小企业则可以从单一解决方案供应商或者 SaaS 供应商处购买。

总结

我们不能说 SIEM 就此要被取代,起码它还是在 SOAPA 中发挥应该有的作用。SOAPA 的出现,只证明了这个行业已经向更好的方向发展了,也表明安全的协作是个大趋势。SIEM 未来还会向云分析和存储进军,将会有更多的 SIEM 厂商加入 SOAPA 阵营。

*参考来源:networkworld,FB 小编 latiaojun 编译,转载请注明来自FreeBuf.COM


Selinux 中国 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:SOAPA 来临,SIEM 时代终结?
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址