告别孤立的安全告警!立刻升级SIEM的五大原因
发布时间:2022-06-22 13:31:59 所属栏目:安全 来源:互联网
导读:安全信息事件管理(SIEM)系统的应用已经超过20年,在很多企业组织,它都是安全管理人员日常处理威胁事件的优先选项。但是,在过去的五年中,网络攻击变得越来越隐秘、手段越来越复杂、影响越来越大,因此,基于传统特征码的检测技术也需要不断向机器学习技术
|
安全信息事件管理(SIEM)系统的应用已经超过20年,在很多企业组织,它都是安全管理人员日常处理威胁事件的优先选项。但是,在过去的五年中,网络攻击变得越来越隐秘、手段越来越复杂、影响越来越大,因此,基于传统特征码的检测技术也需要不断向机器学习技术演进,并从单一的威胁检测转变为检测加响应的联合解决方案。 安全专家总结整理了目前SIEM系统的5大应用挑战与解决方法,以帮助企业更好地开展安全运营感知工作。 挑战一:原始数据量多,噪音太大 解决方案:数据自动化处理,消除“误报” 从理论上讲,更多的数据应该可以提供更好的洞察力,但这也容易淹没有价值的信号。问题不在于我们没有足够的数据,而在于我们有太多的非重要报警和误报数据! 挑战二:过时的、基于规则的识别技术 解决方案:智能化自动检测技术 SIEM落后的另一个原因是因为它们是基于特征码规则检测。尽管业界对它已经进行了改进和升级,但还是无法跟上大数据问题。 试图使用简单的、基于规则的技术来有效地进行威胁检测肯定会失败。当然,如果系统识别出它之前遇到的威胁,并且完全相同的威胁以同样的方式“杀回”,你确实会收到警报。但是,现实世界的大多数威胁并非如此。许多团队甚至发现,与SIEM相比,经验丰富的安全分析师或技术工程师能够检测到更多的未知威胁。 在过去几年里,先进的机器学习已经成为一种可替代方案,但是SIEM在人工智能技术应用上目前尚处于起步阶段。 挑战三:弱检测,无响应 解决方案:将检测和响应由一个平台自动化实现 SIEM一直存在“弱检测,无响应”的问题,它们甚至从未打算做响应功能。但有效的警报分类需要两者(检测和响应)之间相互作用。企业可以通过两种方式解决该问题: 通过添加另一种技术来对抗产生许多误报的嘈杂系统; 查询和分析为什么检测技术会产生如此多的警报和误报。 通过智能自动化,分析人员可以将他们的分类过程编码到检测引擎中,然后让机器来执行,将检测和响应视为两个孤立部分是不正确的。我们应该将检测和响应视为同一过程的两个阶段。 挑战四:SIEM系统不会“学习” 解决方案:机器学习可以通过不断学习变得更好 在大多数情况下,SIEM不会机器学习或很少使用机器学习算法,这不利于高效安全运营工作的开展。现在,想象一下,你可以为每一位安全分析师和工程师雇佣10名“助手”,并且这些“助手”可以不断学习、完全可定制、自动执行任务,而且速度比人类快10倍、100倍甚至1000倍,并且7X24全天候运行,这是一种怎样的场景? 实践已经证明,企业安全运营中心(SOC)可以在机器学习技术的帮助下,更有效地检测、分析和响应海量数据,更关键的是,速度要比任何人都快约1000倍。这就意味着安全团队可以腾出时间专注于只有他们能胜任的高级工作,例如一些难以或不可能自动化处理的任务,或者需要对行业和企业具有深刻且人性化理解的事情。 鉴于SIEM的应用成本差异,企业组织可以根据自身的需求,选用更好、更具成本效益的技术解决方案。智能自动化可以实现高度检测和响应,价格合理、透明,可以针对每个组织的业务需求进行定制。这对于很多中小企业、初创公司和非营利组织来说,会更加适合一些。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号