Gartner：克服SIEM部署失败的通病

2014年8月21日，Gartner发布了一份新的SIEM报告：Overcoming Common Causes for SIEM Deployment Failures。作者是一位刚从HP跳到Gartner的新人Oliver，目前跟Mark Nicolett在一个team。

报告提出了当前SIEM部署失败的6个常见原因：计划不周、范围不清、期望过高、噪声过大、情境不够、资源不足。 原文是：Failure to Plan Before Buying，Failure to Define Scope，Overly Optimistic Scoping，Monitoring Noise，Lack of Sufficient Context，Insufficient Resources。

Oliver表示，尽管SIEM技术在近几年已经大有改观，但当前在Gartner调研过的客户中，依然有20%～30%失败的案例，有的没有达到预期的目标，有的甚至束之高阁。

当然，Oliver在报告中不是贬低SIEM，而是总结了SIEM失败的原因，并认为很多失败其实都是可以避免的。

Oliver提出了解决之道（最佳实践）：一套程式化的SIEM规划、选型、采购、部署、实施流程。其实，这套最佳实践也不是什么新理论，一直我也都在宣传。

我的观点：在购买之前，很重要的一点就是客户自身要搞清楚自己想要什么？不是简单的愿望（Vision）和一些虚泛的需要（need），而应该先成立一个项目组，能够involve项目的关键资源和人。然后这个项目组要制定一份较为清晰的项目需求（requirement），包括确定管理的对象（业务、资产、关键设备）——界定范围，设计要实现的典型场景（scenairo）——还是界定范围，找到当前最需要解决也最有可能解决的问题点——依然是界定范围。有了较清晰的需求，就可以进行选型和采购。购买符合需求的产品比购买一个技术先进的产品往往更难。技术先进与否往往容易比较，无论是横向对比，还是产品测试。但评估是否满足自身需求却不易，因为很可能你自己都不知道你自己需要什么？这也凸显了自身需求分析的重要性。在实施阶段，一直要保持一个谨慎的心态，对管理层也要传达一个审慎乐观的信息。一个基本的方法就是根据规划阶段既定的方针路线，逐个落实使用场景和用例。Oliver说在实施的头半年实现5到7个用例就不错了。我认为能实现3个在国内都很棒了。当然，这又回到的项目立项之时，从管理层到执行层是否已经建立好了对SIEM/安管平台项目的正确认知和合理预期。在维护阶段，人是关键因素，我已经说过N遍了，无论如何，好的，一定数量的安全分析师是必不可少的。

看完之后，是否觉得害怕SOC/SIEM？倒也不必，在国内，我一直倡导的最佳实践总结一下就是：

规划阶段——整体规划、分布实施、逐步落实；

建设阶段——技术与服务并重，建设与运维并举；

使用阶段——充分借助外脑，利用代维服务。

Oliver最后说道：不是所有组织都适合上SIEM，这与该组织整体的安全建设成熟度有关。我觉得，这里的成熟度不仅包括物质上的，技术上的，也包括意识上的、机制上的。