【转】实时检出率仅19%，SIEM还是网络威胁处理的“瑞士军刀”吗

        在很多企业中，SIEM（安全信息和事件管理）已经成为安全团队日常处理威胁事件的必备工具，但这项曾被视为网络安全“瑞士军刀”的技术如今却备受质疑。

        近日，安全研究机构CardinalOps发布了第四版《SIEM安全风险检测年度报告》，报告收集分析了来自Splunk、Microsoft Sentinel、IBM QRadar和Sumo Logic等行业主流厂商的SIEM系统真实应用数据，并使用MITRE ATT&CK技术对这些SIEM系统的实时威胁分析检测能力进行了测试。

        实际测试结果显示，虽然这些SIEM系统能够提供组织日常安全运营所需的87%数据信息，但在实时检测攻击威胁方面的表现却非常不容乐观。在本次所测试的各款SIEM系统中，最多仅能实时检测到最新MITRE ATT&CK框架涵盖的201种攻击技术中的38种，整体检出率占比为19%。更令人担忧的是，由于SIEM系统配置的复杂性，18%的SIEM规则会因为错误配置的数据源和缺少字段等常见问题而变得形同虚设，这进一步限制了SIEM的威胁监测能力。

        CardinalOps首席技术官兼联合创始人Yair Manor表示：“今年的研究揭示了一个缺口，那就是企业组织仍然希望努力利用SIEM系统最大限度地建立和维持有效的威胁检测能力，而实际上SIEM系统却在发现攻击方面充满了困难和挑战，这可能让企业处于巨大的风险之中。”

01  难以检测新型高级攻击向量

        SIEM的构建初衷是检测“已知的恶意行为”，例如MITRE ATT&CK中定义的技术。虽然在MITRE ATT&CK （v14）框架中列出了201种攻击技术，但试图通过配置SIEM来检出所有这些威胁是不现实的。

        网络犯罪分子也了解到SIEM的不足，迅速转向使用被盗凭据、特权升级、错误配置、网络钓鱼和薄弱的安全意识缺口作为他们的攻击媒介。在此情况下，SIEM的威胁防护作用将大打折扣，因为SIEM从一开始就不是为处理这些问题而构建的。

        SIEM在设计时并没有考虑到这一点，现在行业中已经有更先进的方法来应对这些新威胁，包括安全态势管理、可扩展威胁检测和响应、攻击面管理以及跨身份基础设施构建更完整的可见性等，以更有效地发现风险，甚至潜在的未知安全问题。

02 应用成本居高不下

        SIEM的应用成本取决于组织的IT基础设施分布应用情况和实际安全运营需求。很多中小型企业的年度整体安全预算支出仅为50-100万美元左右，这将难以支撑SIEM系统的有效运营要求。在本次报告中，也特别分析了企业组织有效运营SIEM系统必须投入的人力、时间和金钱资源。

        报告发现，主流SIEM厂商仍然将其产品定位在服务大公司、跨国机构和政府部门客户定制化使用的高级安全工具，通常在组织内部部署，系统运营工作需要组织自己的安全团队负责。

        研究人员用《加州旅馆》（Hotel California）的歌词对SIEM的应用成本情况进行了描述，“你可以随时退房，但你永远无法离开。”报告称，约40%的受访组织表示，考虑到SIEM系统运营的高技术保障要求，它们难以承担SIEM系统的运营费用。

        报告认为，如果没有7*24的安全运营能力支持，组织将无法处理和应对SIEM应用中的复杂性，实际应用效果并会不好。而大型企业组织往往需要每年投入100万美元以上的运营维护费用，才能持续对SEIM能力进行优化，并获得有效的使用效果。

        报告还认为，很多组织在实际使用SIEM系统时，要么部署不当，要么缺乏及时更新的管理资源。此外，SIEM通常不能很好地集成到组织现有的网络安全体系中，从而导致其应用性能难以充分发挥。

03缺乏对云的可见性

        Exabeam和IDC在今年1月联合发布的一份报告中指出，全球的企业组织目前仅能可视化或监控其66%的IT应用环境。Exabeam首席执行官Adam Geller表示，目前SIEM工具所能提供的数据覆盖度，和针对MITRE ATT&CK框架下攻击技术的检测要求之间是“矛盾的”。为了更有效地检测、调查和应对当今的主要威胁，SIEM系统必须拥有对云原生基础设施及其中应用的数据采集和监控能力。

        Geller认为，SEIM的实际威胁检出率低并不是说SIEM技术正在被淘汰，而是许多传统SIEM系统的应用模式仍然是本地化运行，这种方式不能提供一个全面的视图来理解数据，或充分保护组织。

        缺乏对云的可见性意味着安全团队对这些环境中的任何应用发展都视而不见，从而导致SIEM的威胁监测效率低下。

04 噪音干扰仍然严重

        噪音问题一直是SIEM应用的主要挑战之一。今年的报告研究再次表明，企业安全团队需要花费约25%到70%的工作时间来处理SIEM系统的误报和噪音烦扰，它不仅会消耗企业有限的安全资源，还会导致精力耗尽和警觉性疲劳。

        《Sophos2023年网络安全状况报告》也发现，超过90%的组织认为威胁搜寻是一项挑战。绝大多数（71%）的组织在试图理解需要调查哪些信号或警报时存在重大问题。同样比例的受访者表示，他们在优先考虑调查方面遇到了挑战。

        人手不足的安全团队和高水平的背景噪音使基本的SIEM应用成为一场噩梦，大公司每天都会收到数千条警报。

        身份和访问安全公司BeyondTrust的首席安全策略师Chris Hills表示，SIEM应用中一直无法有效解决的难题就是如何应对噪音。Hills表示，“与EDR解决方案类似，SIEM在噪声方面没有什么不同，我所说的噪声是指误报的数据量和警报。当分析师试图确定真正的风险时，这就形成了‘大海捞针’的效果。”

05 结语

        每一个闪亮的安全工具都会经历一个生命周期，从解决组织关注的问题到被更好的营销新产品所淘汰。从这一点上看，报告认为SIEM已经处于其生命周期的后半段，主要原因包括：

• SIEM是资源密集型的，组织必须配置正确的日志源，编写正确的规则，并对数据进行后处理（post-processing），从它触发的警报中收集任何有用的东西，然后采取行动响应触发的警报。

• 就有用性而言，SIEM系统往往会成为一种数字化的障碍而不是帮助，有时它们只是合规性方面的一个复选框，除了作为构建其他层以确保环境安全的基础之外，实际上没有做更多有用的事情。

        在此背景下，传统的SIEM应用模式走向失败并不令人震惊。作为一种独立应用的工具，SIEM或许很快就会消失在现代网络安全技术创新和发展的复杂趋势中。但是SIEM技术仍会以新的方式获得应用的动力，例如作为一种安全能力融入到SASE服务、SOAR、MDR、XDR、暗网监控和其他新技术应用中。

        原文链接：

        https://www.techopedia.com/do-siems-the-swiss-knife-of-cybersecurity-do-the-job