【RSA2018】大数据技术如何颠覆传统SIEM(安全信息与事件管理)

历年来RSA大会SIEM 都是非常热门的话题,本次大会也不例外,许多安全公司都推出了自己的下一代SIEM的解决方案。如Empow,一家来自于以色列的公司,致力于打破传统SIEM的观念,通过与现有的网络基础设施整合并将安全工具分解为各自的组件,彻底颠覆传统方法,我们称之为Security Particles。Empow同时创建了一个反映高级攻击链模型的安全功能分类,并能够建模执行针对性的防御策略,随后在整个网络中执行这些防御策略,并根据每个防御策略协调最佳检测、调查和响应。

SIEM是什么?

SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记录。

SIEM技术已存在了十年以上,最早是从日志管理发展起来的。它将安全事件管理(SEM)——实时分析日志和事件数据以提供威胁监视、事件关联和事件响应,与安全信息管理(SIM)——收集、分析并报告日志数据,结合了起来。

下一代SIEM

Empow指出下一代SIEM需要具备四种能力,即:

  1. 实现战略防御,优先考虑业务风险;
  2. 自动解密安全事件的意图以实现即时因果关系 、消除关联规则和安全维护的开销;
  3. 针对高级攻击活动自动进行调查和实时事件响应;
  4. 提供洞察企业的安全状况和差距,以及安全工具的性能和投资回报率。

同时Empow指出下一代SIEM如何更好的协助企业解决检测、调查和响应,形成安全闭环管理,需要重点关注三个层的内容:

一、基于场景化的安全模块能力

提供了一种战略性的、不可知的,基于场景化的安全模块,允许自定义或使用预先构建的目标防御策略(安全应用程序)。基于攻击场景和类型反映先进的攻击链模型,攻击者战术、技术和程序的分类;并用场景类型进一步扩展。为了模拟有针对性的防御策略,安全模块由业务场景组成,其中包括侦测,调查和响应功能以抵制攻击任务。

二、自适应安全平台能力

自适应安全平台位于网络基础架构之上,并通过将针对性防御策略(安全应用)转换为根据每个安全应用进行检测,调查和响应的协调指令,实现基于场景的安全模块。该平台可以在整个组织现有的安全工具和网络基础架构中有效实施和执行这些工具,同时不断测量安全系统和工具的有效性。

三、过程分析能力

安全平台的过程分析能力由专有AI技术实现,该技术战略性地集成到以下过程中。

  • 日志和数据源

使用一系列针对第三方网络和端点解决方案的插件,从现有安全产品中收集和分析日志、数据和情报。

  • 机器学习分类过程

安全平台使用机器学习和自然语言处理算法来解译各个日志的意图,这些算法模拟安全分析师完成相关的操作和日志读取,从日志本身和外部威胁情报找出相关信息,并确定攻击意图,整个过程持续和自动运行,不需要人工参与。

  • 推理分析引擎

安全分析引擎识别各个安全日志、数据之间的因果关系,将它们分组在一起形成攻击链条,该引擎还模拟安全专家流程,根据攻击意图实时决定哪些策略是必需的,并根据系统的风险评估能力决定采用哪种主动响应策略。

  • 安全处置

根据上下文协调引擎动态地识别和选择最佳可用产品和网络工具来执行调查和响应行动,这转化为快速和最佳的事件响应,同时简化安全操作并消除维护开销。

绿盟态势感知解决方案

运营商经过多年的信息安全建设,已投资部署了大量安全产品,产生大量的安全日志,但随着攻击态势的不断演进,很多用户依然是安全事故频出,运维开销巨大,为了更好加强安全运维,在安全事件发生的全过程中进行监测与发现,并提前预警,绿盟科技推出了基于大数据技术的 态势感知 解决方案,颠覆了传统SIEM的实现方式。

推荐阅读:

你挖矿,我挖你——绿盟安全态势感知平台变身应对非法挖矿事件“头号玩家”

【态势感知】老司机用实践来告诉你态势感知应该怎么搞

从菜地到满汉全席-绿盟安全态势感知平台

发表评论