發(fā)展歷程

SIEM（Security Information and Event Management，安全信息與事件管理）是安全運營中心最重要的組成部分之一，對安全運營有所了解的讀者應該對它都不陌生。隨著國內(nèi)的安全運營逐步從粗放型轉(zhuǎn)向業(yè)務與技術雙輪驅(qū)動的精細化運營，SIEM產(chǎn)品也在這個過程中得到了持續(xù)發(fā)展。下面，我們將結(jié)合安全運營中心的演進過程介紹一下SIEM的發(fā)展史。企業(yè)面臨的主要風險與安全運營中心的演進過程如下圖所示。

萌芽階段

安全運營中心誕生于2000年以前。當時，計算機病毒、特洛伊木馬和惡意軟件大爆發(fā)，并在計算機網(wǎng)絡間傳播，給信息安全造成了嚴重破壞。這個時期，為了構(gòu)建安全防御體系，防火墻、防病毒系統(tǒng)、IDS（Intrusion Detection System，入侵檢測系統(tǒng)）和漏洞掃描系統(tǒng)等各式各樣的新技術應運而生。其中，IDS注重網(wǎng)絡入侵檢測，在這個時期發(fā)揮了重要作用。

安全運營中心的萌芽階段主要以防御為主。企業(yè)和組織開始制定基于漏洞修復的管理流程，并通過腳本、入侵檢測系統(tǒng)的控制臺和其他自主開發(fā)的工具來初步分析安全事件。運營人員使用SIM（Security Information Management，安全信息管理）產(chǎn)品收集IT網(wǎng)絡資源、各類安全產(chǎn)品產(chǎn)生的日志等信息，并進行關聯(lián)分析，從海量信息中分析出有價值的安全事件。同時，更關注實時事件監(jiān)控和應急處理的SEM（Security Event Management，安全事件管理）產(chǎn)品也開始逐漸出現(xiàn)。SIM和SEM的出現(xiàn)，標志著SIEM技術的萌芽。

成長階段

安全運營中心在2010年前后快速發(fā)展。隨著互聯(lián)網(wǎng)技術的進一步發(fā)展，惡意軟件從具有破壞性的僵尸、木馬、蠕蟲開始轉(zhuǎn)向有針對性的攻擊，并逐漸形成了黑客產(chǎn)業(yè)。企業(yè)和組織開始意識到，即使部署了防御性的安全技術，網(wǎng)絡入侵也不可避免會發(fā)生。基于此，企業(yè)和組織將安全運營的工作重點從入侵的檢測轉(zhuǎn)向信息泄露的檢測、防御與阻斷。然而，SIM和SEM產(chǎn)品仍然各自為政、缺乏聯(lián)動，難以形成有價值的、全面系統(tǒng)的安全態(tài)勢分析報告，也就難以應對復雜多變的安全威脅。一小部分中小型企業(yè)開始構(gòu)建SIEM系統(tǒng)，用于監(jiān)測網(wǎng)絡流量、安全設備日志、服務器日志與終端日志，同時建設應急處理流程，并利用大數(shù)據(jù)技術實現(xiàn)安全態(tài)勢感知。

2005年，全球IT研究與顧問咨詢機構(gòu)Gartner首次將SIM和SEM整合到一起，明確提出了SIEM的概念，為安全運營揭開了新的篇章。Gartner對SIEM的定義是：“SIEM技術通過收集和分析安全事件以及各種其他事件和上下文數(shù)據(jù)源，支持威脅檢測、合規(guī)性和安全事件管理。核心功能是廣泛的日志收集和管理、跨不同來源分析日志和其他數(shù)據(jù)的能力，以及運營能力（例如事件管理、儀表板和報告）。”

成熟階段

第三代安全運營中心誕生于2020年前后，并且仍在不斷發(fā)展中。這個時期的網(wǎng)絡威脅呈指數(shù)級增長，典型的如APT攻擊，通常由特定組織對特定對象展開持續(xù)的攻擊，具有極強的隱蔽性和針對性。APT攻擊通常會綜合利用受感染的移動存儲設備、供應鏈攻擊和社會工程學等多種手段，復雜性更高，威脅更強。隨著大數(shù)據(jù)和人工智能等新技術的應用，網(wǎng)絡攻擊開始向智能化、自動化、服務化趨勢蔓延，并日趨復雜。

在這個背景下，網(wǎng)絡安全標準組織和合規(guī)性工作也在不斷推進安全產(chǎn)品和實踐的發(fā)展，各個企業(yè)和組織都在爭先恐后地尋找降低網(wǎng)絡安全風險和限制攻擊影響的最佳方法。安全運營開始從被動防御轉(zhuǎn)變?yōu)橹鲃臃烙⒅貜姆烙z測、響應和預測四個維度構(gòu)建網(wǎng)絡安全體系，安全運營“閉環(huán)”的概念也隨之形成。安全運營中心開始走向更加體系化的道路。

針對傳統(tǒng)SIEM所面臨的被動分析和響應、事件過載、網(wǎng)絡安全專業(yè)技能與人才匱乏等問題，SOAR的概念應運而生。第三代安全運營中心利用安全設備、SIEM和SOAR技術，并結(jié)合大數(shù)據(jù)分析技術和人工智能技術，尋找未知的攻擊向量以及長期未檢測出的攻擊跡象，更加注重通過主動式、智能化的方式實現(xiàn)合規(guī)性，而不是簡單地依照合規(guī)性法規(guī)來提供網(wǎng)絡安全。

技術架構(gòu)

基于大數(shù)據(jù)基礎架構(gòu)的集成式SIEM，對企業(yè)和組織所有IT資源產(chǎn)生的安全信息進行統(tǒng)一實時監(jiān)控、審計分析、溯源取證、周期報告和應急處置，實現(xiàn)了IT資源合規(guī)性管理的目標。

一個典型的SIEM技術架構(gòu)如下圖所示。

SIEM包含如下幾個關鍵技術組件：

1 數(shù)據(jù)接入：

SIEM強調(diào)數(shù)據(jù)源的多樣性。采集、監(jiān)測和分析網(wǎng)絡流量、網(wǎng)絡設備日志、主機日志、安全設備日志、應用服務日志等多種數(shù)據(jù)，結(jié)合威脅信息、資產(chǎn)等數(shù)據(jù)，以支持全網(wǎng)威脅的及時檢測與分析。負責采集數(shù)據(jù)的組件包括流量探針和日志采集器。流量探針一般用于收集互聯(lián)網(wǎng)出口、辦公網(wǎng)出口、數(shù)據(jù)中心出口的流量信息，包括網(wǎng)絡監(jiān)測功能的Netflow數(shù)據(jù)和流量協(xié)議解析后的Metadata數(shù)據(jù)。日志采集器一般用于收集各種日志，日志源一般包括資產(chǎn)掃描系統(tǒng)、漏洞掃描系統(tǒng)和安全設備（例如IDS、防火墻、EDR等）。流量信息和日志統(tǒng)一上送到數(shù)據(jù)處理組件。

2 預處理：

預處理組件對采集的網(wǎng)絡流量信息和日志進行清洗、轉(zhuǎn)換與存儲，完成數(shù)據(jù)的規(guī)范化。規(guī)范化過程包含對異構(gòu)系統(tǒng)的日志字段、流量信息向SIEM系統(tǒng)進行映射，補齊用戶信息、資產(chǎn)信息和地理位置信息等。規(guī)范化統(tǒng)一了不同模塊的數(shù)據(jù)模型，提高了數(shù)據(jù)質(zhì)量，便于上層組件的分析和檢測。

3 數(shù)據(jù)總線：

數(shù)據(jù)總線定義了組件間數(shù)據(jù)交換的標準，使數(shù)據(jù)可以在各個組件之間高性能、低延遲地流轉(zhuǎn)。同時，數(shù)據(jù)總線還提供了數(shù)據(jù)訂閱與通知能力。

4 安全大數(shù)據(jù)平臺：

安全大數(shù)據(jù)平臺提供強大的計算與分析能力，并為上層應用提供分布式分析引擎，具有高可用、高性能、開放性和可持續(xù)演進等特點。通過智能引擎、關聯(lián)分析引擎，安全大數(shù)據(jù)平臺，為威脅檢測組件提供檢測算法和檢測規(guī)則的運行環(huán)境。

5 威脅檢測：

威脅檢測是SIEM的核心能力，通過網(wǎng)絡流量和日志數(shù)據(jù)構(gòu)建檢測算法（例如NTA算法、日志關聯(lián)分析算法、用戶行為分析算法等），在關聯(lián)分析引擎和智能引擎等多種引擎支撐下，可檢測出內(nèi)外部攻擊行為。各種檢測算法和分析規(guī)則是威脅檢測的關鍵，SIEM不僅支持豐富的在線算法、離線算法和分析規(guī)劃，還應該支持自定義分析規(guī)則。

6 安全應用：

安全應用是直接向運營人員提供的配置與可視化界面，通常包括安全態(tài)勢監(jiān)控、風險監(jiān)控、事件分析、響應閉環(huán)、資產(chǎn)管理等功能。

技術價值

SIEM可幫助安全運營團隊收集和分析安全數(shù)據(jù)，管理安全信息和安全事件，并根據(jù)預先設定的規(guī)則給出通知。SIEM還支持設置符合特定安全問題的規(guī)則、報告、告警和儀表板等策略。SIEM能夠幫助安全運營團隊獲得如下優(yōu)勢：

數(shù)據(jù)收集：

根據(jù)企業(yè)安全訴求，收集、監(jiān)測和分析數(shù)據(jù)中心、辦公網(wǎng)絡、互聯(lián)網(wǎng)出口等區(qū)域的網(wǎng)絡流量信息。根據(jù)縱深防御訴求，收集各種安全設備的日志。根據(jù)資產(chǎn)風險評估的訴求，收集資產(chǎn)管理系統(tǒng)的日志，用于繪制資產(chǎn)畫像。根據(jù)辦公安全訴求，收集環(huán)境感知系統(tǒng)日志，通過UEBA技術繪制用戶特征。

事件研判：

在收集網(wǎng)絡流量信息與日志后，通過在線/離線學習技術、關聯(lián)分析技術，生成安全事件、資產(chǎn)特征、用戶特征、用戶行為基線等，支撐安全分析與事件研判。

安全編排與自動化響應：

SIEM檢測到事件后，可以自動或手動觸發(fā)安全響應工作流，按照預先設定好的劇本（Playbook），快速完成調(diào)查取證和攻擊遏制。SIEM和SOAR的結(jié)合，可以幫助識別正在發(fā)生的攻擊活動，并及時采取消減措施，避免攻擊造成嚴重損失。在安全運營由被動防御向主動防御轉(zhuǎn)變的過程中，SOAR技術把數(shù)據(jù)感知、安全檢測、響應與處置有機結(jié)合在一起，提升了安全運營效率與能力。

指標和報告：

SIEM提供的威脅處置率、阻斷率、高風險資產(chǎn)排行和高風險事件指標，不僅提示安全運營團隊當前的網(wǎng)絡安全狀態(tài)，也體現(xiàn)了安全運營團隊工作價值。安全報告則可以快速呈現(xiàn)全局安全風險與脆弱性，更好的支撐運營團隊的工作。

華為實踐

華為安全持續(xù)聚焦五大根技術，基于流量、文件、事件、漏洞、威脅信息，構(gòu)建安全關鍵競爭力。通過SIEM產(chǎn)品的相關技術，對網(wǎng)絡流量、資產(chǎn)、安全設備的日志進行收集、監(jiān)測和分析，為零信任網(wǎng)絡提供安全分析與持續(xù)運營能力。

華為SIEM產(chǎn)品HiSec Insight的產(chǎn)品架構(gòu)如下圖所示：

• 數(shù)據(jù)源：提供全面、高效采集日志和流量能力。

• 大數(shù)據(jù)平臺：基于華為商用Fusion Insight大數(shù)據(jù)平臺構(gòu)建，穩(wěn)定可靠，支持標準加密算法AES和國密算法SM4。

• 安全分析層：提供豐富的異常行為檢測、多維的關聯(lián)分析和智能檢測能力。

• 應用層：提供直觀的威脅可視化和快速響應處置能力。

華為安全態(tài)勢感知入選了2022年Gartner SIEM魔力象限，也是國內(nèi)唯一入圍的廠商。至此，華為成為國內(nèi)唯一連續(xù)兩年入圍Gartner SIEM魔力象限的廠商。Gartner分析師認為華為的優(yōu)勢如下：

?威脅分析能力：威脅分析一直是華為重點投資的領域。其UEBA能力提供了基于對等組的動態(tài)檢測。其基于機器學習的實體風險排名反映了資產(chǎn)價值、漏洞風險、攻擊風險等因素。

?豐富的產(chǎn)品生態(tài)能力：華為提供網(wǎng)絡檢測與響應、沙箱、誘捕、UEBA、編排與響應、威脅信息等一系列產(chǎn)品集成能力。

?靈活的場景適配能力：華為產(chǎn)品提供多種形態(tài)，包括軟件、硬件和虛擬化部署，還可以通過華為公有云或私有云進行托管，可按需靈活選擇。