引言

眼下很多單位的安全業(yè)務(wù)都深受”威脅檢測(cè)”問(wèn)題的困擾。Mandiant安全公司在2018年的M-Trends報(bào)告中就指出，從攻擊開(kāi)始到發(fā)現(xiàn)攻擊活動(dòng)的平均時(shí)長(zhǎng)是99天。在這個(gè)“貓捉老鼠”的游戲中，很明顯，現(xiàn)在這只貓還只是一只在喝奶的小貓咪。為了讓它迅速?gòu)?qiáng)大，眾多安全廠商開(kāi)始鼓吹為這只嫩貓配備一個(gè)叫做“SIEM”的神器?？蓻](méi)想到，投了錢，煩惱卻越來(lái)越多……

我曾在SANS開(kāi)過(guò)一門“SIEM with Tactical Analytics”的課程，很多人認(rèn)為我是SIEM的絕對(duì)擁護(hù)者。當(dāng)然，我的確是，因?yàn)槲艺J(rèn)為SIEM是現(xiàn)有的、最強(qiáng)大的檢測(cè)解決方案之一。但是，“最強(qiáng)大”并不一定意味著“最好”。雖然我也希望SIEM能夠解決我們所有的問(wèn)題，但事實(shí)并非如此。

[[235767]]

甲方單位采購(gòu)SIEM一般都會(huì)帶著下面這些美好的愿望：

• 快速的搜索和響應(yīng)時(shí)間
• 能夠與任何團(tuán)隊(duì)或個(gè)人盡可能精細(xì)化地共享數(shù)據(jù)
• 內(nèi)置威脅情報(bào)，突出攻擊者活動(dòng)
• 零誤報(bào)
• 大數(shù)據(jù)及分析技術(shù)
• 機(jī)器學(xué)習(xí)或行為分析的自動(dòng)化
• 數(shù)據(jù)關(guān)聯(lián)自動(dòng)化

但實(shí)際部署后，除了最開(kāi)始的采購(gòu)?fù)度耄€會(huì)產(chǎn)生大量日常維護(hù)的費(fèi)用支出和人力成本。

從目前的SIEM技術(shù)及部署情況來(lái)看，上面提到的“美好愿望”都是不合理的。首先我們要明確的一點(diǎn)是，SIEM只是整個(gè)安全保障項(xiàng)目中的其中一部分，它是否能夠發(fā)揮作用仍然依賴于其它安全組件。

一、SIEM的五大常見(jiàn)問(wèn)題

1. 收集的數(shù)據(jù)質(zhì)量越高，SIEM性能越好

明確收集哪些類型的日志比單純地收集日志更重要。

只簡(jiǎn)單地部署一個(gè)SIEM起不到任何安全保障的作用——將數(shù)據(jù)加載到SIEM中才賦予了它真正的價(jià)值。那么問(wèn)題來(lái)了：很多數(shù)據(jù)源并不理想，且大多數(shù)數(shù)據(jù)不易以二進(jìn)制“好/壞”的方式分類。比如，Windows日志的收集非常普遍，對(duì)安全操作人員來(lái)說(shuō)，這是一個(gè)最好也是最糟糕的數(shù)據(jù)源。

對(duì)于剛接觸的安全人員來(lái)說(shuō)，Windows系統(tǒng)甚至都不會(huì)記錄重要的事件日志，因?yàn)檫M(jìn)程和命令行日志、PowerShell日志和Windows驅(qū)動(dòng)程序框架日志在默認(rèn)情況下都是不啟用的。但如果在未調(diào)試的情況下記錄所有日志，SIEM就會(huì)因?yàn)榇罅康臒o(wú)用數(shù)據(jù)而不堪重負(fù)。默認(rèn)啟用的Windows日志盡管作用很大，但也會(huì)產(chǎn)生大量的垃圾信息。日志的收集、解析和過(guò)濾是一門需要時(shí)間和耐心的藝術(shù)。另外，還要對(duì)日志的有效性進(jìn)行反復(fù)評(píng)估。

更何況，我們還沒(méi)有考慮數(shù)據(jù)如何輸入SIEM的問(wèn)題。如果該日志由syslog(一種常見(jiàn)的日志傳輸協(xié)議)發(fā)出，那么管理員必須執(zhí)行解析。這就意味著該日志在SIEM中的狀態(tài)可能已經(jīng)丟失了原始事件中的某些數(shù)據(jù)和環(huán)境信息。還是以Windows為例，單個(gè)Win10系統(tǒng)在本地二進(jìn)制XML日志結(jié)構(gòu)中有超過(guò)800個(gè)字段。然而，大多數(shù)SIEM對(duì)日志源進(jìn)行解析、削減和轉(zhuǎn)換后就只有200個(gè)字段了。

這個(gè)結(jié)果就像你本來(lái)是可以開(kāi)跑車的，卻去騎了馬。你能走多遠(yuǎn)，取決于你收集了什么數(shù)據(jù)、通過(guò)什么樣的方式收集。

2. SIEM要與實(shí)際案例相結(jié)合

SIEM無(wú)法將信息安全領(lǐng)域的專業(yè)知識(shí)和日志應(yīng)用與你的具體需求實(shí)現(xiàn)自動(dòng)化結(jié)合。一旦數(shù)據(jù)進(jìn)入SIEM，就需要你來(lái)告訴SIEM應(yīng)如何處理這些數(shù)據(jù)。簡(jiǎn)單來(lái)說(shuō)，就像我們買了一個(gè)玩具，玩具本身是不帶電池的，需要我們準(zhǔn)備好電池并完成準(zhǔn)確的安裝。SIEM就是一個(gè)很酷的玩具，但是木有電池……

你是否也有過(guò)這樣的經(jīng)歷，詢問(wèn)某個(gè)廠商關(guān)于他們SIEM產(chǎn)品的告警規(guī)則或檢測(cè)攻擊者所使用的技術(shù)，卻只得到“每個(gè)單位都不一樣”這樣的回答?雖然一定程度上的確如此，但還是有一些基于常見(jiàn)攻擊方法的技術(shù)具有普適性。下面我舉兩個(gè)例子：

• MITRE ATT&CK：這個(gè)開(kāi)源框架是攻擊方法與行為的模型。防御者可以用它來(lái)識(shí)別攻擊者可能使用的技術(shù)方法，查看他們的流程和控制措施，從而找出檢測(cè)和預(yù)防覆蓋面中的不足。
• Sigma：這是一種SIEM的中性規(guī)則語(yǔ)言，可用于編寫支持任何環(huán)境及任何SIEM的規(guī)則。為了使這個(gè)概念發(fā)揮作用，轉(zhuǎn)換過(guò)程采用SIEM非自動(dòng)編寫的規(guī)則，適用于特定的SIEM。

總而言之，SIEM+應(yīng)用案例=幸福的婚姻。不與實(shí)際應(yīng)用相結(jié)合的SIEM早晚都會(huì)“離婚”，SIEM的“誓言”、“信任”以及強(qiáng)大的檢測(cè)功能都將形同虛設(shè)。

3. 數(shù)據(jù)越多并不等于檢測(cè)功能越強(qiáng)大

大數(shù)據(jù)時(shí)代已經(jīng)來(lái)臨。安全運(yùn)營(yíng)團(tuán)隊(duì)正在爭(zhēng)先恐后地收集他們可以得到的所有數(shù)據(jù)。除了搶房，還要搶數(shù)據(jù)。

最常見(jiàn)的錯(cuò)誤就是SIEM中充斥著大量無(wú)用的數(shù)據(jù)，我把這種現(xiàn)象稱之為“茶歇SIEM”——即使是簡(jiǎn)單的搜索，也需要數(shù)秒或更長(zhǎng)時(shí)間才能完成。如果一位分析師一直都在等待搜索結(jié)果，那么他們可能就會(huì)自然而然地選擇值得搜索的內(nèi)容，即返回結(jié)果最快的。

SIEM需要的是增強(qiáng)分析，而不是阻礙分析過(guò)程。簡(jiǎn)單來(lái)說(shuō)，less is more(過(guò)猶不及)。數(shù)據(jù)越多，SIEM性能反而越差，分析師掉的坑也就越多。

4. 缺乏環(huán)境

一個(gè)好的SIEM應(yīng)由分析師構(gòu)建，為分析師服務(wù)。也就是說(shuō)，當(dāng)分析師查看警報(bào)或日志時(shí)，SIEM能夠提供有利的環(huán)境信息。如今市場(chǎng)中大多數(shù)SIEM在日志豐富化(log enrichment)或?yàn)槿罩咎砑迎h(huán)境信息方面的功能都很完善。但是，在實(shí)際部署中，相對(duì)于log enrichment，很多人都更加注重?cái)?shù)據(jù)的收集。

例如，如果一個(gè)分析師正在查看“covertc2.com”這個(gè)正在被訪問(wèn)的可疑域名。一個(gè)DNS日志包含域名、源IP和目的IP報(bào)頭信息、產(chǎn)生的IP地址以及DNS記錄類型。這些信息是否足以讓分析師確定該域名為惡意、可疑還是良性?很明顯，僅根據(jù)這些有限的數(shù)據(jù)作出的決定肯定存在偏差。

現(xiàn)在請(qǐng)你想象一下，如果SIEM添加了以下這些環(huán)境信息，你能夠推測(cè)出什么?

• 該域名不在訪問(wèn)的前100萬(wàn)個(gè)網(wǎng)站中。
• 該域名注冊(cè)于2016年11月1日。
• 該IP與伊利諾伊州的一家企業(yè)有關(guān)。
• 該IP屬于Total Server Solutions L.L.C.。
• 該域名未出現(xiàn)在威脅情報(bào)數(shù)據(jù)庫(kù)中。
• 該域名看起來(lái)并非隨機(jī)生成。

這些環(huán)境信息并不能讓分析師百分之百地確定善惡，但無(wú)疑為分析師提供了很多背景信息，能夠幫助他們作出更加明智的決定。

5. 重心偏離：過(guò)多關(guān)注SIEM的維護(hù)

說(shuō)來(lái)也怪，很多單位都能接受SIEM的一大弱點(diǎn)——人力成本(有時(shí)甚至是一筆巨額開(kāi)銷)。他們會(huì)聘請(qǐng)專家或要求現(xiàn)有團(tuán)隊(duì)為數(shù)據(jù)收集和SIEM的維護(hù)提供支持。因此，最后造成的局面就是該單位沒(méi)有發(fā)揮SIEM的服務(wù)價(jià)值，反過(guò)來(lái)消耗大量資源來(lái)“伺候”它。這方面的人力投入如果放在其它地方，完全可以實(shí)現(xiàn)更大的價(jià)值。

如果你花80%的時(shí)間在SIEM的維護(hù)上(代理部署、日志解析、系統(tǒng)升級(jí))，那么你就很可能永遠(yuǎn)無(wú)法實(shí)現(xiàn)SIEM價(jià)值的最大化。自動(dòng)化對(duì)于一個(gè)成功的SIEM實(shí)施方案來(lái)說(shuō)太重要了。你的環(huán)境是不斷變化的，“自動(dòng)化”也應(yīng)緊跟步伐，只有這樣才能將你的時(shí)間花在戰(zhàn)術(shù)實(shí)施方面。

二、應(yīng)用案例：6周 vs. 14個(gè)月

關(guān)于第5個(gè)問(wèn)題，我們來(lái)看一個(gè)實(shí)際案例。我曾供職的一家公司推出了一個(gè)SIEM解決方案。該項(xiàng)目中有15個(gè)全職員工，項(xiàng)目總時(shí)長(zhǎng)14個(gè)月。一年以后，他們暫停了項(xiàng)目，反思SIEM實(shí)現(xiàn)了什么功能、為公司創(chuàng)造了什么價(jià)值?；仡櫧Y(jié)果并不理想。14個(gè)月以后，他們?nèi)匀惶幱跀?shù)據(jù)收集的狀態(tài)，檢測(cè)功能依然無(wú)法發(fā)揮作用。

后來(lái)我有幸介入了這個(gè)項(xiàng)目。在不到一個(gè)月的時(shí)間內(nèi)，推出了一個(gè)全新的方案：利用自動(dòng)化技術(shù)部署日志代理、數(shù)據(jù)收集、數(shù)據(jù)源部署，修改或禁用默認(rèn)或預(yù)警警報(bào)，并根據(jù)已豐富的日志數(shù)據(jù)實(shí)施新的警報(bào)機(jī)制。

直到第6周快結(jié)束時(shí)，不到5個(gè)正式員工所輸出的解決方案超過(guò)了15個(gè)人花了14個(gè)月的工作成果。顯然，改革后SIEM的投資回報(bào)遠(yuǎn)超預(yù)期。

三、采購(gòu)SIEM的6大關(guān)鍵前提

一個(gè)成功的SIEM方案必須具備以下條件：

• 員工具有專業(yè)的信息安全知識(shí)背景
• 員工具備對(duì)SIEM產(chǎn)品的充分了解
• 數(shù)據(jù)豐富功能
• 支持自動(dòng)化
• 對(duì)重要數(shù)據(jù)的收集與利用
• 檢測(cè)功能與實(shí)際應(yīng)用相結(jié)合

機(jī)器學(xué)習(xí)和行為分析也是非常重要的技術(shù)組成部分。但是在你還沒(méi)有做好上述準(zhǔn)備之前，暫且不要將精力全部放在機(jī)器學(xué)習(xí)或行為分析上。一個(gè)已達(dá)到上述6個(gè)前提條件但尚未實(shí)現(xiàn)自動(dòng)檢測(cè)功能的SIEM應(yīng)用單位將比沒(méi)有做好準(zhǔn)備卻專注于自動(dòng)捕捉異常行為工具的單位更具潛力。

關(guān)鍵要點(diǎn)

根據(jù)一般的經(jīng)驗(yàn)法則來(lái)看，SIEM更適合成熟的、有經(jīng)驗(yàn)的安全團(tuán)隊(duì)來(lái)操作。當(dāng)然，這也不是硬性規(guī)定，我同樣也看到過(guò)很多初級(jí)團(tuán)隊(duì)成功部署SIEM并取得正向結(jié)果。他們能夠?qū)IEM很好地與部署環(huán)境相結(jié)合，并實(shí)施像防火墻規(guī)則這樣的安全控制措施。但大多數(shù)情況下，很多團(tuán)隊(duì)都是莽撞地加入SIEM大軍，迎面即遇上了我上述列舉的五大問(wèn)題。

關(guān)鍵要點(diǎn)如下：SIEM絕不能成為展開(kāi)安全保障的切入點(diǎn)，尤其是在剛成立安全部門的情況下。一口吃不成胖子，首先要從最基礎(chǔ)的做起。終端安全解決方案、網(wǎng)絡(luò)分段、防火墻等等在安全防御方面路漫漫其修遠(yuǎn)兮，但是對(duì)于檢測(cè)功能的實(shí)現(xiàn)卻尤為必要的。完成基礎(chǔ)內(nèi)容后，下一步當(dāng)然也不是立馬去買個(gè)SIEM回來(lái)。只有當(dāng)你符合上述要求時(shí)，才可以推進(jìn)SIEM的購(gòu)買和維護(hù)。

我希望以上的觀點(diǎn)能夠幫助你的團(tuán)隊(duì)規(guī)避SIEM的常見(jiàn)問(wèn)題，成為威脅檢測(cè)戰(zhàn)役中的常勝將軍。