SIEM和XDR下的安全分析小感悟

語言: CN / TW / HK

談不上小感悟,就是記錄一下體會吧,現在是2022年,在SIEM領域已經摸爬滾打了3年,現在突然冒出來一個XDR,説是有SOAR響應編排、動作劇本,便高級一點了,但還是在初期,有些甲方客户覺得,乙方動了它的防火牆,心裏有一些不安全心,怕哪一天,一堆誤報把網絡幹癱瘓了,因此,SOAR必定是小範圍的試點。

説起SIEM的發展,早在2017年的時候還沒有呢,差不多是2018年的時候態勢感知產品發展起來了,所以之前看到的都是單個安全設備告警,比如防火牆告警、WAF告警、漏掃告警等等,安全運維需要一個一個設備的看告警。

於是自然而然想到了融合所有的告警在一張屏幕上,這就是SIEM的雛型,2018年的時候SIEM還是很簡單的,一比一的告警轉換,設備上吐出啥告警,我SIEM上就展示啥告警,多台設備的告警匯聚到SIEM中,最大的感受就是告警太多了呀,我究竟要看哪個告警啊。

聰明的安全運維人員發現,如果防火牆上有一個告警,漏掃上有一個對應的漏洞,而且還是同一個主機,那麼就可以認為黑客在利用這個漏洞在入侵網站,這就是關聯分析,自從有了關聯分析,SIEM便有了超越了任何單個設備的安全發現能力了。

關聯分析讓SIEM的告警從以前的單個安全設備告警,變成了多個安全設備的組合告警,雖然提高了告警質量,但是隨着而來的是告警數量再次暴漲,安全運維人員苦不堪言,為什麼會陷入這個困境呢?

從甲方來看,企業引入SIEM的目的,一定是要發現威脅,發現不了威脅的SIEM,留着它何用?所以就有了大量的檢測規則,也是競標中的一個比拼項,誰的告警多,就買誰的,你乙方敢不擴充檢測規則嗎?

而問題往往就出在大量擴充的檢測中,由於靜態的規則,無法適應動態的甲方場景,隨着而來的就是海量的誤報,為了能爆出更多的威脅線索,讓安全運維人員陷入疲勞告警的狀態。

安全駐場每天都在消除誤報,遲遲給不出中毒主機,又會給甲方一個很差的印象,所以精準告警又成了另一個痛點,甲方會説,你別報那麼多的告警啦,你就給我幾個準確的,但是如何才能從眾多的告警中選出最有價值的那麼幾個告警呢?這是數據挖掘的領域啊!而安全運維人員的思維還處在規則領域啊!

安全人才不懂數據挖掘,數挖人才不懂網絡安全,這就是困境,網絡安全本身是一個綜合的應用領域,解決問題才是硬道理,如果把思維困在一個領域,而不去拓展其他領域的知識,往往會感到迷茫和無力,這也是為什麼要持續學習,不去教你做事的原因。

網絡安全任重道遠,洗洗睡吧~