告别孤立的安全告警!立刻升级SIEM的五大原由
发布时间:2022-04-25 14:00 所属栏目:53 来源:互联网
导读:安全信息事件管理(SIEM)系统的应用已经超过20年,在很多企业组织,它都是安全管理人员日常处理威胁事件的优先选项。但是,在过去的五年中,网络攻击变得越来越隐秘、手段越来越复杂、影响越来越大,因此,基于传统特征码的检测技术也需要不断向机器学习技术
安全信息事件管理(SIEM)系统的应用已经超过20年,在很多企业组织,它都是安全管理人员日常处理威胁事件的优先选项。但是,在过去的五年中,网络攻击变得越来越隐秘、手段越来越复杂、影响越来越大,因此,基于传统特征码的检测技术也需要不断向机器学习技术演进,并从单一的威胁检测转变为检测加响应的联合解决方案。 挑战一:原始数据量多,噪音太大 解决方案:数据自动化处理,消除“误报” 从理论上讲,更多的数据应该可以提供更好的洞察力,但这也容易淹没有价值的信号。问题不在于我们没有足够的数据,而在于我们有太多的非重要报警和误报数据! 挑战二:过时的、基于规则的识别技术 解决方案:智能化自动检测技术 SIEM落后的另一个原因是因为它们是基于特征码规则检测。尽管业界对它已经进行了改进和升级,但还是无法跟上大数据问题。 挑战三:弱检测,无响应 解决方案:将检测和响应由一个平台自动化实现 SIEM一直存在“弱检测,无响应”的问题,它们甚至从未打算做响应功能。但有效的警报分类需要两者(检测和响应)之间相互作用。企业可以通过两种方式解决该问题: 挑战四:SIEM系统不会“学习” 解决方案:机器学习可以通过不断学习变得更好 在大多数情况下,SIEM不会机器学习或很少使用机器学习算法,这不利于高效安全运营工作的开展。现在,想象一下,你可以为每一位安全分析师和工程师雇佣10名“助手”,并且这些“助手”可以不断学习、完全可定制、自动执行任务,而且速度比人类快10倍、100倍甚至1000倍,并且7X24全天候运行,这是一种怎样的场景? 挑战五:SIEM系统应用成本太高 解决方案:经济实惠、灵活的自动化选项 有调查显示,有32%的安全专家表示SIEM运营需要大量的人员培训和经验,而21%的人认为SIEM需要不断调优并消耗大量运营资源才能发挥作用。这就是为什么许多企业的安全团队必须做出艰难的决定,决定他们可以将多少(以及哪些类型的)数据提取到SIEM中进行分析。其余的数据只能存储在没有处理能力的系统中,无法处理、分析和提取有关威胁的宝贵见解,即便是明显的攻击迹象(类似Log4j事件)有时也会被忽略。这会带来巨大的安全风险。 鉴于SIEM的应用成本差异,企业组织可以根据自身的需求,选用更好、更具成本效益的技术解决方案。智能自动化可以实现高度检测和响应,价格合理、透明,可以针对每个组织的业务需求进行定制。这对于很多中小企业、初创公司和非营利组织来说,会更加适合一些。 (编辑:ASP站长网) |
相关内容
网友评论
推荐文章
热点阅读