作者: 本文轉載「CIO IT經理人」雜誌 2019年3月號 NO.93 Page46-48
根據研究顯示,28% 的組織機構收集、 處理與分析的安全資料量,比過去兩年 大幅增加,另外有 49% 的組織出現小幅 增加,這意謂組織需要更多基礎設施、 更多人力以及營運工作。
SIEM (安全性 資訊與事件管理) 是 Security Information and Event Management 的縮寫,SIEM 系 統 最 早 出 現 是 在 2000 年左右, 由 Intellitactics、 N et Fo re ns ic s 與 eSecurity 等廠商推 出的解決方案。最初的功能主要是「安全事件關 聯」,也就是將入侵偵測系統 (IDS)、入侵防禦系統 (IPS) 與防火牆等安全防護裝置搜集到的事件,關聯 起來以進行分析。
過去 19 年間 SIEM 市場不斷演進,無論是功 能、使用案例及供應商皆有所變化,如今 SIEM 已 成為總值 25 億美金的市場,最主要的供應商為 Splunk、IBM、LogRhythm 與 AT&T (AlienVault)。
儘管 SIEM 系統歷經許多發展,現今的 SIEM 產品仍可視為只是過往產品的巨大規模版本。事實 上,SIEM 最初的設計看起來就像是網路與系統管理 工具 CA Unicenter、HP OpenView 與 IBM Tivoli 的 仿冒品,SIEM 產品的基礎是由分散式資料收集器 / 索引編集器 / 處理器組成的多層式架構,加上一套 負責資料分析、視覺化與產生報表的中央資料庫。
隨著 SIEM 的規模日益擴大,企業組織需要更多 的硬體階層,來支撐及維護 SIEM 系統的效能與規模 延展性。這種發展狀況使得負責威脅偵測、應變處 理與鑑識研究等任務的資安監控中心人員,必須倚 賴 SIEM 基礎設施團隊,等待他們升級硬體與負載平 衡伺服器,以及增加儲存空間。
SIEM 系統將由本地伺服器轉移到雲端
2019 年安全分析及營運技術模型正處於巨大 的架構轉變,接下來幾年,SIEM 的後端平台將由 本地伺服器 (on-premises server) 轉移到公有雲端設 施上。我堅信,在 2020 年結束前,即使是對本地 伺服器抱有偏見般堅持的產業組織,例如金融服務 業、政府機關與軍事武器製造業,也會放棄本地伺 服器,改用雲端設施來維護 SIEM 系統。
這項轉變不但已經發生,而且 由於供需的變化,轉變過程將會非 常迅速。資訊安全長 (CISO) 將開始 尋求雲端的 SIEM 解決方案,理由 如下:
- 安全資料的巨幅成長: 根據 ESG 研究顯示 (ESG 為環境、 社會及治理研究機構),28% 的組 織機構,收集、處理與分析的安全 資 料 量 , 比 過 去 兩 年 大 幅 增 加 , 另外有 49% 的組織出現小幅增加 (註:筆者本身是 ESG 的雇員)。至 於 增 長 的 資 料 涵 蓋 哪 些 資 料 類 型 呢?網路威脅智慧 (CTI, cyber threat intelligence)、網路封包擷取、雲端日誌、企 業應用程式日誌,任何你能想到的資料都有可 能。安全資料的持續成長意謂組織需要更多基 礎設施、更多人力以及營運工作。
- 更 高 的 軟 體 成 本 : 除 了 基 礎 設 施 與 人 力 成 本 外,有些 SIEM 供應商會根據管理的資料量來 決定計費,我曾聽過資訊安全長抱怨 SIEM 預 算暴增,在一年內就花掉三年的預算,而且這 種 情 況 頗 常 發 生。他們已經察覺客戶用雲端平台部署他們產品的比例迅速增加,這項趨勢仍會持續進行。
- 新創公司都在做雲端系統:最新的安全分析及 營運供應商,例如 DEVO、Empow Cybersecurity 與 JASK,全部都使用雲端為主的後端系統,專 為資料管線、機器學習演算法與巨大規模所設 計的平台。2019 年很可能還會出現更多新創公司加入這個市場。
- 難以接受的利弊權衡:因為 SIEM 軟體可能會以資料容量作為計費標準 , 許多組織不得不忽略或刪除具有收集與分析價值的重要安 全資 料 ,這 是所有安全分析師不樂見的情況。另一種常見的節省成本策略, 是在 SIEM 系統外搭配開源碼的資料湖泊 (data lake),以處理資料回顧與適合長期分析的資 料。雖然這種作法可減少 SIEM 軟體支出,但 也帶來系統互通性與營運上的挑戰,安全人員 必須在 SIEM 與資料湖泊系統間轉換資料,還 得同時管理兩套安全技術的基礎設施。
- 網路安全與 IT 人才的匱乏:由於技術人員嚴重 短缺,科技長與資訊安全長必須謹慎考量是否 要招募與聘用專門管理網路、伺服器與儲存裝 置的人員。
雲端 SIEM 系統可以協助資訊安全長解決以上所 有難題。
Amazon、Google 與 Microsoft 擁有散落 全球的分散式雲端基礎建設,並且積極 投資人工智慧與機器學習領域,因此, 「網路安全分析」這個使用案例自然成 為與他們技術投資策略一致的絕佳機 會。
供應商推動雲端 SIEM 系統
在供應端,廠商察覺到增長迅速的市場機會, 並將以下列幾種方式推動雲端 SIEM 系統:
- 雲端服務供應商的投入:Amazon、Google 與 Microsoft 擁有散落全球的分散式雲端基礎建 設,並且積極投資人工智慧與機器學習領域, 因 此 , 「 網 路 安 全 分 析 」 這 個 使 用 案 例 自 然 成 為 與 他 們 技 術 投 資 策 略 一 致 的 絕 佳 機 會 。 這些公司已經開始行動:Google/Alphabet 成 立 Chronicle 公司,宣示其安全分析的意圖。 Amazon 併購 Sqrrl,顯示 Re:Invent 產品將更加 專注安全分析與營運。Microsoft 對於自家的安 全分析與營運仍然守口如瓶,不過該公司近期 的公告暗示他們將在 2019 年加入戰局。 以我個人淺見來說,發展趨勢已經很清楚 - 安全分析與營運是一個巨大的資料應用,而大型的資 料應用全都轉移到雲端了。對雲端依然抱持不信任 態度的資訊安全長必須正視這項事實,他們必須 學會如何與雲端為主的網路安全 / 營運技術和平共 處,否則就只能等著被趨勢淘汰。
●全文轉載內容(PDF)