SIEM发展趋势

攻防

1年前

　　企业网络安全世界风云变幻。身处这么一个不断变化的环境，安全人员需要部署越来越复杂的工具和技术，借以对抗花样不断翻新的恶意黑客。如今，企业的运营环境比以往任何时候都更具挑战，安全信息与事件管理（SIEM）平台的作用不可或缺。此类平台可以帮助安全分析师了解和处理企业环境中的安全事件。随着威胁愈趋严重和普遍，SIEM平台的职能也已大大扩展。

　　Core Security发布的《2022年SIEM报告》探讨了SIEM市场上的最新趋势、关键挑战和解决方案偏好。

SIEM的重要性

　　符合当下全世界的担忧和行业困境，报告揭示了不断恶化的威胁环境：仅54%的受访者对自身安全态势稍微有点信心。与去年同期相比，总体信心下降了3个百分点。

　　需要注意的是，大多数积极使用SIEM平台的企业对自身安全态势更具信心（60%），而根本没有使用SIEM的那些企业则有46%对其安全不自信。这种情况进一步反映出SIEM不仅能提升安全能力，还能有效提高士气。

　　作为主要检测机制，SIEM继续在威胁处理中发挥关键作用，既应用于威胁应对，也应用于事后取证。而被问及SIEM重要性时，受访企业中80%都声称SIEM对其安全态势而言极其重要。现代SIEM解决方案似乎已经能更好地识别出日益增长的数据流和敌意中隐藏的潜在威胁。

采用、集成和交付趋势

　　各个行业的SIEM采用率均稳步上升，超过30%的受访企业计划在不久的将来实现SIEM。面对爆炸式增长的数据量和日益分散的端点，企业逐渐意识到拥有强大SIEM平台处理其安全运营的重要性。

　　同时，SIEM部署情况反映出IT世界的一个大趋势。企业现在更喜欢混合配置或作为服务交付的SIEM部署。可以从两个方面观测到这一趋势。一方面，纯本地部署日渐减少。另一方面，作为服务交付的SIEM和混合配置的SIEM解决方案都在增长。

　　此外，企业也越来越多地将入侵检测和防御系统（IDS/IPS）、下一代防火墙（NGFW），以及事件和审计日志相关应用集成到其SIEM边缘，从而更好地保护企业边界。

SIEM的性能与效果

　　时光流逝，SIEM解决方案历经发展，如今拥有了更好的威胁情报功能、更高的自动化程度，与其他安全套件的集成也更加紧密。在种种可用功能的加持下，现代SIEM各方面表现上佳，85%的受访企业表示，自家SIEM平台可有效识别和缓解威胁。绝大多数受访SIEM用户报告称，SIEM帮助增强了其威胁检测能力（81%）；另有84%的受访企业则表示，使用SIEM平台后安全漏洞明显减少。

　　上述所有指标无不表明这些年来使用SIEM的明显收益，反映出尽管威胁形势不断恶化，SIEM平台的功能却在增强。

SIEM的好处和用例

　　作为现代安全运营中心（SOC）的基本要素之一，SIEM平台带来了诸多好处。从自动化威胁模式分析，到增强合规与报告，SIEM平台对大大小小的企业都非常有用。但是，其主要功能一直都是无缝整合安全信息管理（SIM）和安全事件管理（SEM）功能，从而增强整体风险管控。贴合这一职能，受访企业报告称，跨多系统与应用的事件数据分析与管理、威胁发现，以及用户活动监测，是SIEM平台最为重要的用例。

　　基于自身真实企业经验，业内人士表示，企业采用SIEM平台的主要好处如下：

提升安全运营效率（21%）
提高安全事件检测与响应速度（14%）
扩大威胁可见性（13%）

　　改善合规情况、通过自动化减轻员工工作负担、优化威胁分析，以及威胁数据管理，也是SIEM平台带来的一些其他好处。

　　只要精准集成和微调，现代解决方案往往能大幅缩短宕机时间。超过75%的受访企业证实了这些解决方案的有效性，表示其SIEM能够在数小时内检测到潜在安全事件，其中半数企业甚至能够在几分钟内检测到这些事件。从未授权访问到Web应用攻击，SIEM技术有效检测几乎所有攻击类型的结果明显优于去年，表明行业近期在威胁检测能力方面取得了进步。

推动SIEM采购决策因素

　　《2022年SIEM报告》的另一关键发现揭示了企业采购行为背后的思考过程和动机。面对选择SIEM解决方案的重要任务，企业首先根据成本来评估备选项，然后考虑产品性能和有效性，最后考察产品特性和功能。与上一年相比，成本和产品性能/有效性愈发受到企业的重视，而对特性和功能的重视程度则略微下滑了一点。

　　评估SIEM功能时，企业最重视的要素依次是实时分析和潜在威胁告警、威胁情报集成，以及关联事件形成有用信息。

企业面临的挑战

　　尽管SIEM平台可带来诸多好处，但企业想要完全实现其平台的价值却面临许多障碍。报告表明，缺乏熟手有效运行SIEM依然是最大的挑战（41%）。尽管人才短缺是行业通病，但值得注意的是，近半数企业都面临类似的困境。而且，由于企业希望填补这一人力缺口，人才短缺可能也会助推作为服务提供的托管解决方案。接下来的两个挑战则是处理过多误报（37%）和预算不足（34%），分别凸显出配置与微调的困难，以及平衡IT安全预算分配的困境。

SIEM的未来

　　网络攻击越来越常见和频繁，SIEM平台继续在威胁管理方面发挥不可或缺的作用。对于安全和风险管理人员来说，SIEM平台可以提供全面且可操作的洞见，帮助防止安全事件和减少业务中断。如今，随着人工智能、自动化和机器学习不断推动尖端SIEM创新，企业可以在不受噪音干扰的情况下实时获得其整个数字生态系统的准确警报，精准了解其用户、应用程序、数据库和云环境的威胁态势。

Core Security《2022年SIEM报告》
https://www.coresecurity.com/resources/guides/cybersecurity-insiders-2022-siem-report 2022-SIEM-Report-Helpsystems-1.8-image.png