转发以前微信公众号发的文章,Sec-UN独家。
之前的文章里面已经八卦过下一代安全事件分析的挑战和趋势,今天继续进入一些更深入的话题,下一代安全事件分析平台究竟应该是个什么样子。
SIEM作为通常安全解决方案里单价最高的产品,目前也随着安全行业里的NG之风,进入了下一代。国内外安全厂商也随之纷纷推出了称之为“下一代”的安全事件平台。但是这里面其实鱼目混之,有些是真下一代,有些就是换个名字继续忽悠。
那什么下一代安全事件分析平台的特征是什么?什么样的产品才能称之为下一代安全事件分析呢?
1.应用大数据技术,提供对海量事件的存储、分析和处理能力
原有的传统架构已经无法满足海量数据的存储、分析和处理需求,而目前Hadoop等大数据技术也已逐渐成熟,为SIEM支持海量数据提供了可能。基于数据存储、分析和处理能力的提升,SIEM可进一步提升事件收集的深度和广度,如可进一步收集客户端的事件、直接收集WEB的全日志、接入Anti-APT/DLP等新型安全设备的日志、收集企业全部应用日志等,并扩展原始事件、事件metadata的储存时限等,扩展功能。
2.对非结构化和半结构化安全事件相关数据的分析处理能力
利用Index、内容分析、语义分析等技术,对非结构化和半结构化的数据进行分析处理,扩展传统范式化事件接入模式,将收集的传统安全设备日志、服务器日志、Net Flow等日志扩展至电子邮件、文件内容、音视频、甚至用户请求的返回数据等范围。未来NGSIEM平台甚至可以成为与DPI的分析平台,泄密检测平台。
3.利用更高级的BI技术对数据进行挖掘展现的能力
NGSIEM十分强调智能,需要扩展非基于事件、特征等分析处理和异常发现能力,如借助BI展现技术发现异常的行为、进行趋势的分析、进行数据聚集的分析、进行行为的归类、进行相关性分析和复杂模型分析。
4.由纯基础设施事件逐渐扩展至数据安全事件、应用安全事件甚至业务安全事件,扩展对安全事件的覆盖能力
其实企业信息安全不仅仅限于设备、主机类的网络安全事件、数据安全、应用安全、业务安全才是从企业角度最关心的内容,因此NGSIEM的趋势也是逐渐向上层安全、向业务管理发展。目前在国外的一个趋势就是SIEM逐渐成为反舞弊、IT管理、甚至业务分析平台。
5.云环境部署能力
企业未来的环境向云环境迁移已经是趋势,因此NGSIEM也需要支持云环境的部署。目前很多国外SIEM厂家也直接提供了以VM文件的产品形态。
6.更加快速的实时分析处理能力
Hadoop等技术其实存在单线程、不够实时等的一系列问题,而在大数据领域,Spark等已经成为大数据领域的新宠,因此NGSIEM也需要提供更快速实时的分析处理能力。
7.多渠道访问能力
这个就是支持移动客户端访问了,不多说。
8.支持Threat Intelligence等外部信息源
这个已经成为国外NGSIEM的标配,Threat Intelligence Feed也是最先应用在SIEM领域的。前面讲过,也不多说了。
再补充一点关于发展技术路线的思考,SIEM系统其实不仅是一个事件处理平台,因此资产管理、风险管理、流程管理等也是SIEM所必须拥有的能力。目前看到一些大数据安全事件分析厂家有直接拿日志处理充NGSIEM的意思,这些功能,是传统安全公司的强项,大数据领域杀过来的厂家这些课也是要补的。
篇幅所限,暂时说这么多,后面再继续完善补充。