SIEM, Security Information and Event Management
如果説一間餐廳的靈魂是廚師,那 SIEM 應該就是 SOC 忠實的靈魂伴侶。
SIEM 的全名是安全資訊與事件管理,
主要用途是作為日誌集中收容、關聯分析跟合規報表與各式告警等幾個關鍵應用。
SIEM 現在在市場是發展很成熟且持續在進化的資安解決方案,
但其實它的出現與誕生其實還不到 20 年,在此之前,
SIEM 是被分別為 SIM (安全信息管理) 與 SEM (安全事件管理)兩個產品組合提供的:
SIM 負責處理「日誌的蒐集與保存」而 SEM 負責「事件關聯分析與告警」,
最早在臺灣市場登陸、知名度與市占率都非常高的 Micro Focus Arcsight 便是典型按照 SIM 與 SEM 精神所研製的的解決方案,至今仍是業界相當經典的 SIEM 解決方案鼻祖。
我們都知道網際網路的世界其實至今不過 50 年,
但期間的資訊革命與網路網路的興起,卻已經徹底改變了我們的生活與世界,
現代典型的企業場景,大致上會有對外提供服務的應用網站、隔絕內、外部網路的防火牆、連接設備的交換器、乘載應用服務的伺服器與其上的資料庫。
當資訊人員開始維護系統日常營運時,首先就會面臨到關於內、外部資訊系統的可用性管理的相關需求與議題。
關於外部,通常我們會遇到的是:
用戶反應連線時間過慢、
網站上特定功能無法使用、
會員登入異常、
金流交易卡關等等。
而在內部,
則會關心系統資源夠不夠、
服務負載會不會撐不住?
有沒有基礎設施物件損壞或需要更換?
這些普遍遇到的資訊系統議題,都是屬於 IT、可用性與效能管理的範疇,目的都是為了確保企業能夠有效的提供資訊服務與更好的使用體驗。
而在同樣的應用場景裡,
在資訊安全的視角一樣在外部而言我們會關心,
有沒有跟我長得好像的網站在誘使我們企業客戶誤觸誤入?
有沒有機器人在暴力嘗試某個會員的帳號密碼?
有沒有金流交易過程有信用卡帳號外洩的事情;
而在內部則會關心,
有沒有存有會員資料的資料庫被異常登入?
有沒有交易資料被準備離職員工複製搬遷?
有沒有幽靈帳號在內部 IT 環境潛伏活動?
有沒有帳號被或異常提權?
這些都是在同一個場景下,資訊人員與資安人員所看出去的不同視角。
所以無論從資訊或資安的角度,其實都圍繞一個普遍與共通性的需求:
就是我們如何有一個機制協助我們在這些系統發生或異常時,能夠有效的觀測它並在有狀況產生相應的通知,來讓相關人員採取相對的處置作為。
在沒有一個合適的日誌集中管理平台時,
就是得靠資訊與資安人員「按圖索驥」逐步的從連線的開端到末端,
開始一台台服務器登入查看相關的系統或事件紀錄,
再透過一些測試工具的執行,才能慢慢限縮問題的狀況貨根因,
做過資訊與資安的朋友都會知道,這絕對會是一件辛苦的差事,
而且常常也造成問題處置的黃金時間的延遲與耽擱。
因此如何有效率的做到這件事情,就得先倚賴資訊管理最重要的第一步:「可視化」。
當我們為了很直觀、便利的實現整個企業組織的 IT 系統的可視化,
最直接的做法就是我們必須要先能夠收集全部資訊環境的日誌與事件紀錄到同一個地方,
讓相關的管理員都能夠在同一個平台之下,來做到 End-to-End 的可視化,不管是為了資訊或資安的需求;
SIEM 後起之秀、至今仍風靡技術社群的 Splunk 就是在 2015 年前後,
先後以 IT 大數據的可視化、關聯分析、效能管理等核心應用席捲市場,
我自己甚至還有一件當年活動拿到的 T恤、背後寫著:
寫著「Drop your data and IT off work」,
很戲謔的表示只要 Log 都進到 Splunk 之後,IT人員就能輕鬆下班了,
非常生動的表達這套工具的強大優勢與效益。
今天我們談了「可視化」是坐資訊管理的第一步,明天,我們會就 SIEM 在組織裡扮演的角色,繼續 Zoom-in 到企業典型的場景裡,SIEM 怎麼樣扮演一個好幫手、來幫我們資訊與資安人員處理日常的系統維運與安全作業。