安全运营的 天坑 SIEM 的残酷实情
发布时间:2022-06-04 10:51:12 所属栏目:安全 来源:互联网
导读:David Bianco于2013年提出的痛苦金字塔(Pyramid of Pain)众所周知。位于塔尖的关注重点(TTP)就是检测活动中你需要理解的那些指标。但SIEM检测发展历程及其当前状态中存在一些令人费解的谜团。本文正是要破迷解密,带您正确认知安全关联的过去与现在,揭示关
|
David Bianco于2013年提出的“痛苦金字塔”(Pyramid of Pain)众所周知。位于塔尖的关注重点(TTP)就是检测活动中你需要理解的那些指标。但SIEM检测发展历程及其当前状态中存在一些令人费解的谜团。本文正是要破迷解密,带您正确认知安全关联的过去与现在,揭示关于SIEM的残酷真相。 首先,让我们的思绪穿越到1999年。那时主机入侵检测系统(HIDS)是高大上的代名词,“SIEM”这词儿在Gartner分析师眼里也就是个华丽丽的新鲜玩意儿。但是,有些供应商居然已经开始开发和售卖“SIM”和“SEM”设备了。要知道,这可是1999年!设备可火了! 这就是第一批很快便会被称为SIEM的工具,拥有非常基本的“关联”规则(真的,不过是聚合和计数单条属性,比如用户名或源IP之类的),例如“多个目的地址同一端口的多个连接”、“包含SYNflood的思科PIX日志消息重复50次”、“SSH登录失败”等等。很多此类规则都非常脆弱,攻击行为的些微改变就可以规避规则触发。而且,这些规则还是设备依赖的(例如,你得针对每个防火墙设备编写此类规则)。所以,SIM/SEM供应商不得不加载成百上千条此类规则。而客户则在启用/禁用和调整大量规则的深渊中痛苦不堪。 还有一个特别奇怪的视角:随着机器学习和分析的兴起,如果我们想要掌握更多安全用例,而不仅仅是检测,对干净的结构化数据的需求肯定会不断上升。然而,我们恰恰是只增加了数据总量,能馈送给机器学习算法的数据并没有多少。我们需要更多干净的、丰富过的数据,不是更多数据!现在不是人多力量大的时代,数据的质量更甚于数量! 这个进化过程就好像我们从马车时代走到汽车时代,然后是电动汽车,然后是喷气式汽车,结果又回到马车时代…… 那么,这些年到底发生了什么? 从挥舞关联“魔法棒”15年的ArcSight老手,到用现代工具运营检测团队的安全主管,对安全同行的调查给出了答案。 但在揭晓最终答案之前,我们不妨回顾一下调查数据收集过程中同行们都是怎么想的: 原始搜索赢了 缺乏事件规范化或规范化做得很差(或懒惰到依赖客户去做规范化工作)的产品,因不相干的原因赢得了市场(比如所收集数据的总量等),而新一代安全运营中心(SOC)分析师从没见过别的工具。于是,分析师用手头的工具勉强应付。好吧,我们暂且将此推理逻辑称之为“原始搜索赢了”。 猎手赢了 威胁猎手春风得意,把传统检测人员逼到墙角,一脚踢出窗外。现在,威胁猎手试图用自己狩猎未知威胁的方式来检测搜索已知攻击的蛛丝马迹。这可称之为“猎手赢了”。 误报赢了 另一种想法是:对“误报”(FP)的容忍度下降了(由于不断恶化的人才短缺状况),所以编写更窄的检测规则降低误报率开始流行起来(“漏报”是万万不可的——我们只能编写更多规则来阻断漏报)。规则狭窄了也更容易测试些。不妨将这种思路称之为“误报赢了”。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号