在很多企業中，SIEM（安全信息和事件管理）已經成為安全團隊日常處理威脅事件的必備工具，但這項曾被視為網絡安全“瑞士軍刀”的技術如今卻備受質疑。

近日，安全研究機構CardinalOps發布了第四版《SIEM安全風險檢測年度報告》，報告收集分析了來自Splunk、Microsoft Sentinel、IBM QRadar和Sumo Logic等行業主流廠商的SIEM系統真實應用數據，并使用MITRE ATT&CK技術對這些SIEM系統的實時威脅分析檢測能力進行了測試。

實際測試結果顯示，雖然這些SIEM系統能夠提供組織日常安全運營所需的87%數據信息，但在實時檢測攻擊威脅方面的表現卻非常不容樂觀。在本次所測試的各款SIEM系統中，最多僅能實時檢測到最新MITRE ATT&CK框架涵蓋的201種攻擊技術中的38種，整體檢出率占比為19%。更令人擔憂的是，由于SIEM系統配置的復雜性，18%的SIEM規則會因為錯誤配置的數據源和缺少字段等常見問題而變得形同虛設，這進一步限制了SIEM的威脅監測能力。

CardinalOps首席技術官兼聯合創始人Yair Manor表示：“今年的研究揭示了一個缺口，那就是企業組織仍然希望努力利用SIEM系統最大限度地建立和維持有效的威脅檢測能力，而實際上SIEM系統卻在發現攻擊方面充滿了困難和挑戰，這可能讓企業處于巨大的風險之中?！?/p>

1.難以檢測新型高級攻擊向量

SIEM的構建初衷是檢測“已知的惡意行為”，例如MITRE ATT&CK中定義的技術。雖然在MITRE ATT&CK （v14）框架中列出了201種攻擊技術，但試圖通過配置SIEM來檢出所有這些威脅是不現實的。

網絡犯罪分子也了解到SIEM的不足，迅速轉向使用被盜憑據、特權升級、錯誤配置、網絡釣魚和薄弱的安全意識缺口作為他們的攻擊媒介。在此情況下，SIEM的威脅防護作用將大打折扣，因為SIEM從一開始就不是為處理這些問題而構建的。

SIEM在設計時并沒有考慮到這一點，現在行業中已經有更先進的方法來應對這些新威脅，包括安全態勢管理、可擴展威脅檢測和響應、攻擊面管理以及跨身份基礎設施構建更完整的可見性等，以更有效地發現風險，甚至潛在的未知安全問題。

2.應用成本居高不下

SIEM的應用成本取決于組織的IT基礎設施分布應用情況和實際安全運營需求。很多中小型企業的年度整體安全預算支出僅為50-100萬美元左右，這將難以支撐SIEM系統的有效運營要求。在本次報告中，也特別分析了企業組織有效運營SIEM系統必須投入的人力、時間和金錢資源。

報告發現，主流SIEM廠商仍然將其產品定位在服務大公司、跨國機構和政府部門客戶定制化使用的高級安全工具，通常在組織內部部署，系統運營工作需要組織自己的安全團隊負責。

研究人員用《加州旅館》（Hotel California）的歌詞對SIEM的應用成本情況進行了描述，“你可以隨時退房，但你永遠無法離開。”報告稱，約40%的受訪組織表示，考慮到SIEM系統運營的高技術保障要求，它們難以承擔SIEM系統的運營費用。

報告認為，如果沒有7*24的安全運營能力支持，組織將無法處理和應對SIEM應用中的復雜性，實際應用效果并會不好。而大型企業組織往往需要每年投入100萬美元以上的運營維護費用，才能持續對SEIM能力進行優化，并獲得有效的使用效果。

報告還認為，很多組織在實際使用SIEM系統時，要么部署不當，要么缺乏及時更新的管理資源。此外，SIEM通常不能很好地集成到組織現有的網絡安全體系中，從而導致其應用性能難以充分發揮。

3.缺乏對云的可見性

Exabeam和IDC在今年1月聯合發布的一份報告中指出，全球的企業組織目前僅能可視化或監控其66%的IT應用環境。Exabeam首席執行官Adam Geller表示，目前SIEM工具所能提供的數據覆蓋度，和針對MITRE ATT&CK框架下攻擊技術的檢測要求之間是“矛盾的”。為了更有效地檢測、調查和應對當今的主要威脅，SIEM系統必須擁有對云原生基礎設施及其中應用的數據采集和監控能力。

Geller認為，SEIM的實際威脅檢出率低并不是說SIEM技術正在被淘汰，而是許多傳統SIEM系統的應用模式仍然是本地化運行，這種方式不能提供一個全面的視圖來理解數據，或充分保護組織。

缺乏對云的可見性意味著安全團隊對這些環境中的任何應用發展都視而不見，從而導致SIEM的威脅監測效率低下。

4.噪音干擾仍然嚴重

噪音問題一直是SIEM應用的主要挑戰之一。今年的報告研究再次表明，企業安全團隊需要花費約25%到70%的工作時間來處理SIEM系統的誤報和噪音煩擾，它不僅會消耗企業有限的安全資源，還會導致精力耗盡和警覺性疲勞。

《Sophos2023年網絡安全狀況報告》也發現，超過90%的組織認為威脅搜尋是一項挑戰。絕大多數（71%）的組織在試圖理解需要調查哪些信號或警報時存在重大問題。同樣比例的受訪者表示，他們在優先考慮調查方面遇到了挑戰。

人手不足的安全團隊和高水平的背景噪音使基本的SIEM應用成為一場噩夢，大公司每天都會收到數千條警報。

身份和訪問安全公司BeyondTrust的首席安全策略師Chris Hills表示，SIEM應用中一直無法有效解決的難題就是如何應對噪音。Hills表示，“與EDR解決方案類似，SIEM在噪聲方面沒有什么不同，我所說的噪聲是指誤報的數據量和警報。當分析師試圖確定真正的風險時，這就形成了‘大海撈針’的效果?！?/p>

結語

每一個閃亮的安全工具都會經歷一個生命周期，從解決組織關注的問題到被更好的營銷新產品所淘汰。從這一點上看，報告認為SIEM已經處于其生命周期的后半段，主要原因包括：

• SIEM是資源密集型的，組織必須配置正確的日志源，編寫正確的規則，并對數據進行后處理（post-processing），從它觸發的警報中收集任何有用的東西，然后采取行動響應觸發的警報。 
• 就有用性而言，SIEM系統往往會成為一種數字化的障礙而不是幫助，有時它們只是合規性方面的一個復選框，除了作為構建其他層以確保環境安全的基礎之外，實際上沒有做更多有用的事情。

在此背景下，傳統的SIEM應用模式走向失敗并不令人震驚。作為一種獨立應用的工具，SIEM或許很快就會消失在現代網絡安全技術創新和發展的復雜趨勢中。但是SIEM技術仍會以新的方式獲得應用的動力，例如作為一種安全能力融入到SASE服務、SOAR、MDR、XDR、暗網監控和其他新技術應用中。

原文鏈接：https://www.techopedia.com/do-siems-the-swiss-knife-of-cybersecurity-do-the-job