下一代SIEM的4大优势

如今，随着攻击面的不断扩张，安全分析师当前面临的网络攻击比以往任何时候的都要多，相应的云上保护工具的数量也达到了前所未有的高度。

而该局面的形成离不开领域中网络安全人才的流失。工作的压力、糟糕的企业文化以及不合理的工作时间，促使着行业内的顶尖人才不断转行。

而那些留下来的人员也仍要面临预警轰炸以及人手不足等问题。他们需要得到尽可能的帮助。

因此能够帮助工作人员承担体力劳动的工具就显得十分有必要。真正需要员工做的更多是脑力劳动，而非体力劳动。

下一代安全信息和事件管理（又名下一代SIEM）可以帮助解决安全专家多年以来一直在处理的一些关键问题。

下面我们将会讨论具体的解决方案以及下一代SIEM技术的主要优势。

下一代SIEM到底是什么？

下一代SIEM是一种云原生网络安全工具，它利用人工智能和机器学习来对恶意活动进行实时的检测。

作为下一代SIEM解决方案的前身，传统的SIEM存在着一些严重的缺陷，例如安全预警数量繁多、大量数据未能准确分类，以及系统威胁相关信息的质量差等。

而该工具的新版本以及改进版本（也就是下一代SIEM）则相对更加精确，对于安全团队来说，操作起来更加轻松，其中的数据也更易于管理。

下一代SIEM的主要优点包括：

更早地发现威胁
统一数据管理
缓解预警疲劳
更简单的安全扩展

下面是对这些优点的详细分析。

1、更早地发现威胁

下一代SIEM依赖于人工智能，是一种自动化工具，可以在早期就检测出基础设施中的关键问题。

从多功能安全解决方案中收集到的数据既精简，又可操作，能够帮助安全团队做出及时的反应，缩小安全间隙并缓解系统内部的威胁。

在这些威胁中也包括零日攻击。之所以被称为零日，是因为这种威胁会在IT团队补救之前就被利用，不留机会。也就是说留给安全团队用来修复这些漏洞的时间只有“零日”。

考虑到下一代SIEM会利用到机器学习，并不断学习系统内部的常规行为，所以它可以快速地检测到涉及高风险威胁的异常情况。

及时地发现安全隐患至关重要，因为遭到网络攻击后，快速响应可以帮助公司降低修复的成本。

2、统一数据管理

传统SIEM的主要痛点之一就是所需要管理的数据以及所需识别的重要信息数量巨大。

在下一代SIEM工具中，信息无论质量如何，都会被自动分类并丰富上下文。最好的下一代SIEM工具会在单独的平台上将信息统一起来，其中包括第三方数据以及个人架构中所特有的数据。对于安全团队来说，将所有基本数据都汇集到单个仪表板上，可以帮助他们快速获取所需信息，从而及时发现问题所在。

3、缓解预警疲劳

传统的SIEM工具“偏爱”预警，它会从不同的工具中生成大量的安全通知。更重要的是，这些预警往往来自多个需要不断调整的仪表板。解决完一个，又要处理下一个，这样很容易就产生了预警疲劳。

网络中的任何改变都会触发安全预警，所以IT团队必须快速辨别哪些预警需要引起重视，而哪些是无关紧要的。并且，要弄清楚系统会受到的影响程度以及威胁发生的确切位置，花费时间是不可避免的。

然而在这些预警中存在着大量的误报，这使得安全专家往往会忽视了那些真正需要担忧的预警。

下一代SIEM旨在帮助人手不足以及工作负载过重的团队。细致的数据分析以及自动化能力可以将安全预警与实时发生的具体事件联系起来。 

在一定程度上，预警数量越少，就对安全团队越有益，因为他们将会有更多的时间来专注于更具挑战性的问题。

4、更简单的安全扩展

安全部门必须要跟上公司系统的内部变化。如今越来越多的组织开始对云计算产生依赖，因此他们需要的往往是可以轻松部署的解决方案。其所涉及的安全工具就需要适应不断增长且复杂的基础设施。也就是说，现在大多数架构都是由多个云部署以及其前身结构的结合。

所有被添加进来的设备和软件（无论是新加入的远程工作人员，还是更多的云存储）都必须经过多功能安全点来进行保护，并接受其后续的持续管理。

更复杂的结构以及更多的工具意味着会生成更多的安全数据，而这些数据又需要后续的分类。

下一代SIEM是一种云计算工具，可根据公司不断变化的需求而进行调整。大数据的可扩展性也是该工具的一种重要特征，因为它旨在为基于云的解决方案进行扩展。

结语

简而言之，下一代SIEM兑现了其前身（SIEM）空洞的承诺。

传统的SIEM正逐渐过时。下一代技术终会将其取代。下一代技术解决了传统SIEM中一系列令人头疼的问题，例如数据质量差、预警繁多以及无法检测到零日攻击等。

对于企业来说，这意味着可以用更低的价格来实现更好的安全性，并且可以减轻安全团队的工作负载，将其从多个孤岛工具生成的大量数据中“拯救”出来。

更重要的是，下一代SIEM所创造的安全性能够跟上现代企业快速发展的技术、不断增长的信息量以及愈加复杂的基础设施。

数世点评

作为云原生安全工具，下一代SIEM在一定程度上解决了传统SIEM随着云时代的到来而日益致命的缺陷。人工智能以及机器学习的引入帮助SIEM解决方案实现了自动化、智能化以及平台统一化，从而适应新威胁形势下的风险管理模式以及安全团队业绩指标的转变。另一方面更重要的是进一步推动了预见性修复及其自动化的实现。

---

参考阅读 
SIEM发展趋势
为什么运营应与安全融合
七个指标衡量安全运营有效性
什么是SIEM？如何发挥出SIEM的价值？

原文始发于微信公众号（数世咨询）：下一代SIEM的4大优势