SIEM和XDR下的安全分析小感悟

语言: CN / TW / HK

谈不上小感悟,就是记录一下体会吧,现在是2022年,在SIEM领域已经摸爬滚打了3年,现在突然冒出来一个XDR,说是有SOAR响应编排、动作剧本,便高级一点了,但还是在初期,有些甲方客户觉得,乙方动了它的防火墙,心里有一些不安全心,怕哪一天,一堆误报把网络干瘫痪了,因此,SOAR必定是小范围的试点。

说起SIEM的发展,早在2017年的时候还没有呢,差不多是2018年的时候态势感知产品发展起来了,所以之前看到的都是单个安全设备告警,比如防火墙告警、WAF告警、漏扫告警等等,安全运维需要一个一个设备的看告警。

于是自然而然想到了融合所有的告警在一张屏幕上,这就是SIEM的雏型,2018年的时候SIEM还是很简单的,一比一的告警转换,设备上吐出啥告警,我SIEM上就展示啥告警,多台设备的告警汇聚到SIEM中,最大的感受就是告警太多了呀,我究竟要看哪个告警啊。

聪明的安全运维人员发现,如果防火墙上有一个告警,漏扫上有一个对应的漏洞,而且还是同一个主机,那么就可以认为黑客在利用这个漏洞在入侵网站,这就是关联分析,自从有了关联分析,SIEM便有了超越了任何单个设备的安全发现能力了。

关联分析让SIEM的告警从以前的单个安全设备告警,变成了多个安全设备的组合告警,虽然提高了告警质量,但是随着而来的是告警数量再次暴涨,安全运维人员苦不堪言,为什么会陷入这个困境呢?

从甲方来看,企业引入SIEM的目的,一定是要发现威胁,发现不了威胁的SIEM,留着它何用?所以就有了大量的检测规则,也是竞标中的一个比拼项,谁的告警多,就买谁的,你乙方敢不扩充检测规则吗?

而问题往往就出在大量扩充的检测中,由于静态的规则,无法适应动态的甲方场景,随着而来的就是海量的误报,为了能爆出更多的威胁线索,让安全运维人员陷入疲劳告警的状态。

安全驻场每天都在消除误报,迟迟给不出中毒主机,又会给甲方一个很差的印象,所以精准告警又成了另一个痛点,甲方会说,你别报那么多的告警啦,你就给我几个准确的,但是如何才能从众多的告警中选出最有价值的那么几个告警呢?这是数据挖掘的领域啊!而安全运维人员的思维还处在规则领域啊!

安全人才不懂数据挖掘,数挖人才不懂网络安全,这就是困境,网络安全本身是一个综合的应用领域,解决问题才是硬道理,如果把思维困在一个领域,而不去拓展其他领域的知识,往往会感到迷茫和无力,这也是为什么要持续学习,不去教你做事的原因。

网络安全任重道远,洗洗睡吧~