安全运营(SOC)中的SIEM、SOAR与Threat Hunting

态势感知、安管平台领域的大牛Benny Ye在其公众号“专注安管平台”上发布了《Gartner:2021年SIEM(安全信息与事件管理)市场分析》(以下简称《文章》)的文章。

我也第一时间对文章进行了学习,对其中的几点内容以及自己的想法进行一个记录,所以本文算是一篇学习笔记。对此领域感兴趣的话,请详细阅读叶总分析文章。

2021年度的SIEM MQ矩阵(转自“专注安管平台”):

▼▼Gartner市场魔力象限并非单纯考虑规模和影响力

从《文章》中看到,从2020年的市场销售排名前四分别是Splunk(10亿美元)、QRadar(7亿美元)、ArcSight(2.1亿美元)、LogRhythm(1.9亿美元)。但在魔力象限排名中却是Splunk、Qradar退步一点,LogRhythm原地踏步,ArcSight大幅落后。
在排名上Gartner并没有“客观地”把规模和销量作为主要考量,而是将在市场需求、产品创新和技术发展趋势上,符合其“主观态度”的Exabeam和Securonix排名靠前。这也是目前国内厂商喜欢参考Gartner找创新点的主要原因。
有人或许会说Gartner看好的趋势就一定是对的吗?谁也不能保证一定会是对的,对与错根本不是什么关键,关键是至少得有自己的判断。

▼▼云SIEM(SaaS SIEM)可能并不太适用于国内用户

关于SIEM云化,《文章》进行了一个统计,2021年共上榜20家厂商,其中13家都有明确的云SIEM战略和SaaS版SIEM;连续两年以上在榜的厂商,其中8家都有SaaS版SIEM。Gartner认为,到2024年,80%的SIEM厂商将推出云原生和SaaS化的SIEM版本,而目前这里比例为40%。
产品云化是美国安全市场一大特色,基本上所有的产品和技术都有SaaS化的趋势。其根本原因还是业务上云非常普遍,随之而来的一定是安全上云,毕竟皮之不存,毛将焉附呢。
但在国内环境下显然公有云不是主流趋势,主要行业用户更多的还是私有云部署,所以SIEM是否为SaaS模式并不是用户所关心的。另外,很多安全厂商也在很早就尝试过以SaaS方式提供日志分析、SIEM服务,但收效甚微。

虽然SaaS SIEM可能并不太适用于国内用户,但其背后的本质是不会变的。那就是用户并不是很关心平台的部署、配置与维护,这些基础实施运维的工作尽量要快捷方便。用户真正关心的是事件场景需求、回溯分析效果、安全风险趋势等内容,这部分需要用户重点关注参与。

▼▼SOAR、Threat Hunting在国内还处于炒概念和试水阶段
目前国内SOAR概念已经被炒的很热,貌似大部分用户非常接受并认可SOAR,但在落地层面几乎还没有看到有什么好的实践案例。前段时间我在文章《SOAR还面临着一条很难跨越的鸿沟》也做了分析,在这里不再进行赘述。
SIEM偏重基础的安全信息与安全事件的日常性操作与管理;SOAR则偏重在日常性操作与管理基础上的安全编排与自动化响应;Threat Hunting则偏重针对某一特定威胁(或怀疑为高级威胁),依据蛛丝马迹进行深度挖掘。
从三者所提供数据的类型与价值举例来说,SIEM提供的是最为基础战况信息,SOAR加工后提供决策指令信息,Threat Hunting则提供非常规的高价值敌特信息。
从三者之间的数据依赖关系来讲,SIEM数据质量不好会影响SOAR、Threat Hunting效果;从需要匹配安全成熟度来讲,SIEM最为基础、SOAR较高、Threat Hunting最高。
日常性安全操作没有固化的管理机制与场景操作步骤,就算部署了SOAR也只是没有灵魂的躯体。SOAR是安全运营成熟度提高的结果,而非是安全运营建设的目标。
换句话说,想要做好SOAR不能只盯着SOAR本身,而是要提升安全运营成熟度。只有线下安全操作、事件处置流程步骤SOP完善了,才能考虑安全编排、自动化响应的实现,而不是相反的过程。
日常性的安全分析、事件回溯、应急响应操作全部已经做的很好了,并且通过安全编排、自动化响应进一步解放了安全分析人员。这样才能有精力进行威胁猎捕这样的高级挖掘,此时所谓的Threat Hunting才是真正的Hunting,否则只是一般性的运营操作换个叫法而已。

优秀书籍推荐,点击链接购买

扩展  ·  本文相关链接

·安全运营的定义与核心目标

·SOAR还面临着一条很难跨越的鸿沟

· 基于主动防御能力,建设安全运营体系的一点思考

·OODA循环在网络安全运营平台建设中的应用

(0)

相关推荐