![分享对国内的SIEM/态势感知的一些理解|安全村]( "分享对国内的SIEM/态势感知的一些理解|安全村")
笔者在安全行业做了也有差不多20年了,在SIEM的运营和售前交流上也有15年左右的经验,使用过的SIEM/态感平台有国外的HP-Arcsight、IBM-Qradar和国内的启明、安恒等大厂的产品。此外,还和很多国内的国企、央企做过关于SIEM/态感的咨询和规划交流。本篇文章的分享,是看到这几年国内的安全运营的兴起,且SIEM/态感作为整个安全运营的核心,笔者把多年与客户交流发现的一些通用性问题做了一个总结,今天和大家做一个分享,希望能对大家后面做安全运营的时候能提供一定的参考作用。
安全运营是最近几年安全圈比较热门的话题之一,而安全运营中,除了对安全产品的统管,利用安全服务把企业的安全系数提到一定的水平,这是很多人在做安全运营过程中遇到的一些问题,设备管理、安服的推动,这所有的一切的来源,都得基于安全分析的结果,而往往在实际的安全运营过程中,这部分是存在很多的一些问题。下面笔者会从甲方的视角、乙方视角和提出一些就目前来说的一些解决方式。
在甲方看来,SIEM/态感都有存在多个发展阶段,从2000年左右,对安全产品的日志和事件进行统管;到2010年的时候,对安全存在很多合规的要求,如等保、网安法等;到2020年以后,随着HW和重保的发展,很多甲方人员都开始意识到安全的重要性,安全实战化成了很多甲方的主要需求,安全实战也是安全运营很重要的核心。
但是纵观很多甲方客户,都无法很好地把SIEM/态感使用起来,归结到以下几点:
网络安全虽说是网络的一个分类,但是知识点是特别多的,必须要对编程、网络、操作系统、应用程序、国内外安全标准和法律法规等内容都必须知道或者熟悉,所以,能具备以上知识点的人才,往往不一定会在甲方呆着,因为甲方的升迁要求和这方面的内容不挂钩,从而导致很多甲方的管理员都无法满足上述的要求。
SIEM/态感界面也是安全产品中相对比较复杂,很多甲方客户需要的功能可以一键实现,例如关联、除虫、降噪等功能,但是很多SIEM/态感界面都很漂亮,但是不太友好,导致很多甲方客户都不知道也不清楚有哪些作用,从而导致在日常使用过程中很多功能无法实现。
碍于甲方能更好地使用SIEM/态感,目前大部分的甲方都会购买定制开发服务,一方面需要把SIEM/态感和OA或者其他办公系统进行对接,另一方面,也需要进行部分的界面和功能的定制。但是99%的甲方客户,即使购买了定制开发的服务以后,最后还是不能使用,因为SIEM/态感“太复杂”了。
综上所述,很多的甲方客户,对SIEM/态感系统大部分的SIEM/态感项目最后都是通过购买客户的驻场来使用SIEM/态感,以达到交付的目的。
SIEM/态感为啥都没有其他安全产品发展得这么快,笔者觉得主要的情况如下:
(1)产品无法标准化
SIEM/态感系统不像防火墙或者其他安全产品那样具有单一的功能,SIEM/态感除了做日志的收集、除虫、降噪/过滤、聚合、关联分析等功能外,还要做展示、预警、与OA打通等功能,所以,很多功能都无法标准化,且这些功能在使用的过程中都相互交错并交叉使用,这样就更难标准化进行输出,更别说产品层面的标准化。
(2)定制化的模块无法复制
在使用的过程中,很多定制化的模块,从A客户中都无法复制到B客户的实际使用环境里面,例如A银行客户定制了一个模块,通常很难把这个定制化的模块复制到B银行客户中使用,除了业务的复杂程度、业务系统的厂商不一样和使用习惯的不一样以外,还有一些情况,B客户会觉得既然我都定制化模块,为什么我还要使用A客户已经做好的模块呢?因此,乙方帮甲方客户定制化的模块,很难复制到其他客户的环境中使用。
(3)人员多,但是无法复用
该点有点类似上面的b点,有所不同的是分析的角度不一样而已,这里主要从乙方的人员成本进行分析,由于b的问题存在,乙方需要聘请大量的开发人员对不同的甲方客户进行定制开发,以满足他们的需要。但是结合a和b点分析发现,这些定制开发的模块无法进行复制,而人员的数量由于产品不能标准化和不同客户的定制需要无法统一,导致人员无法统一管理,所以乙方厂商的SIEM/态感系统很多开发人员,大部分的工作都是围绕着不同客户进行定制开发,而进行标准产品升级的开发人员往往只占了总人数的30%-40%之间。
综上所述,乙方同样也有他们的痛处,面对SIEM/态感系统的长期发展,他们本身则不愿意甲方客户提出定制开发的需求。乙方更多希望通过标准化产品的方式进行交付。
笔者和很多甲方客户沟通的过程中,觉得整体的SIEM/态感系统在使用过程中存在很大的问题:
(1)SIEM/态感系统让甲方用户去使用
经过上面的分析,笔者觉得不管是安全知识还是SIEM/态感系统,对于甲方用户来说,都是过于复杂,经过多个SIEM/态感系统项目的验证,最好的方式还是甲方用户去购买现场安服人员使用SIEM/态感系统,以服务的方式进行交付安全运营结果比较适合。
(2)对SIEM/态感系统进行定制开发
对SIEM/态感系统进行定制是需要的,但是更多的定制建议都放在与OA系统或者内部其他系统的对接,其他的运营过程,规则的编写,安全事件的响应等工作应该通过驻场安服人员完成。
因此,笔者觉得可以参考国外的方式,第一种方式,如果甲方客户对日志本地化要求不太高,且安全设备数量和体量都不大的前提下,可以使用MSS远程托管式服务的方式去解决安全运营分析的问题,通过在本地安装探针,把本地的安全产品的日志指向探针,然后探针把日志传到云端的运营中心,远端的安全专家通过SIEM/态感系统进行分析,并通过人工的方式进行分析并对甲方客户进行预警,客户也可以通过Portal的方式查看每个安全事件的安全建议;另一种方式,如果甲方客户的日志不能外发,且安全设备数量和体量都比较多的情况下,可以通过购买驻场的安服专家加上使用SIEM/态感系统(购买方式或者工具订阅的模式)来解决安全运营的问题,本地驻场的安服人员通过安全服务的方式进行交付,甲方客户把需求告知本地安服,而安服则把客户的需求转变成运营过程,规则的编写,安全事件的响应,这样能有效地提高整体的效率和中间存在的所有问题,国外很多地方,目前都是使用这样的方式,能有效地解决了很多甲方客户面临的日常安全运营的需求,安全运营将会是中国安全的下一个风口,目的在于如何提高运营的效率和打通人员团队、安全产品和流程之间的一个行之有效的解决方案。
Penny1234,15年以上的安全运营经验,曾任启明和安恒安全运营负责人,国内最早MSS的团队创始人。
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:info@sec-un.org
原文始发于微信公众号(SecUN安全村):分享对国内的SIEM/态势感知的一些理解|安全村
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1564373.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论