終於,鐵人賽來到收官階段,
剛好落在第 25 天,明天就是接連五天的重點回顧,
所以嚴格來說,集大成的 SIEM 解決方案的新的未來趨勢,
就是在今天的鐵人文章是來到最後一篇了。
我們在**「寫在啟程」**的系列篇,
談了日誌收容、關聯分析與事件回應;
而在「寫在當下」系列篇,
我們談了部署、SOC/MSS/MDR的關聯、
上市櫃公司資通安指引與零信任的三重奏。
而在「寫在返航」,
我們開始聚焦在市場主流的 SIEM 的特色,
包含核心功能、市調機構評比以及今天的未來趨勢梳理。
接著,今天我們就要從全系列的收官,
言簡意賅的來快速的看看 SIEM 主流與未來趨勢。
延伸閱讀:https://ithelp.ithome.com.tw/articles/10287075
SIEM 作為 SOC 中心,
替資訊安全維運中心提供整體合規、告警與回應。
透過整合企業組織所有的日誌事件,
包含來自網路、端點、身份、應用程式與其他安全日誌,
提供快速事件關連分析、威脅調查與事件回應,
輔以提供各種案例庫(Use Cases)的威脅偵測工具,
來讓資安專業人員能在專業、集中、單一平台,
來因處資訊安全作業生命週期裡的資安事件。
延伸閱讀:https://ithelp.ithome.com.tw/articles/10287590
SIEM 領域是非常成熟的資安市場,
從早期的 SEM 與 SIM 開始至今已經 20 多年,
直到約莫 2015 年開始以 SIEM 的形式穩定下來,
開始逐漸發展成穩定的市場區塊(Segment),
各家主流的解決方案也普遍提供類似的功能,
並且在各個細節功能上各有千秋。
延伸閱讀:https://ithelp.ithome.com.tw/articles/10287372
在 2010-2020 期間,大數據與機器學習,
在這十年間席捲了台灣的各個領域應用,
包括在資訊安全也開始談及以「機器學習」,
來實現使用者用戶行為分析 (UBA),
透過機器學習演算法計算用戶風險基準,
來提供相關離峰值或異常情形的判斷依據,
開始針對「內部威脅」進行威脅防禦與著墨。
而隨著企業上雲趨勢成為現今主流,
在混合辦公、雲地混合的應用環境下,
了解每個用戶與其代表的身份帳號,
成為現在企業做資訊安全的下一個戰場之所在。
在 SIEM 市場領域另外最關切的就是 SOAR 功能,
關於在偵測到事件威脅時,能否有自動化工具來整合回應,
成為目前比較新的趨勢在談及的應用。
SIEM 主流是以支援上百家各家應用日誌識別與收集為主,
而資安維運 Security Operation 則牽涉更多、更緊密,
與周邊第三方解決方案的深度整合與應用,
更關鍵的是能否提供彈性、動態的劇本或 Script,
來適應每一家企業組織的用例與特性,亦是至關重要的。
延伸閱讀:https://ithelp.ithome.com.tw/articles/10289867
SIEM 平台普遍都能作為一個情資收集的載體,
以標準格式與通訊協定接收威脅情資,
對於在日誌收集與即時關聯分析時,
威脅調查人員可以直接在平台上,
得知該 IP/URL/C2 等在外部世界的概況,
進而可以在時效內更快的進行整體威脅事態的掌握。
故 SIEM 作為 TIP (Threat Intelligence Platform),
亦是作為 SOC 中能否發揮內、外情勢整合的核心角色。
排名前面數家的 SIEM 解決方案,
均不同程度的提出對於在雲環境的使用方案,
而包含 Gartner / Forrester,
也都將供應商在雲環境的技術與支援能力,
進行高權重的評分。
在在均顯示出從原本傳統地端應用模式,
如何能夠結合雲端的彈性優勢,
成為目前各家業者在競逐的一塊市場。
因此無論是 SIEM in Cloud 的 SaaS,
還是 SIEM on Cloud 基於託管形式的應用,
整合雲端彈性、靈活數據儲存,成為目前市場競逐的議題。
延伸閱讀:
在現在主流的授權定價機制,
有訂閱制 (Subscription) 與買斷制(Perpetual),
以及依據不同 SIEM 功能進行授權定價的模式,
像是之前介紹過的基於日誌攝取量的計價模式,
或是基於每秒多少事件數的 (EPS) 做計價,
都會因應不同的企業環境特性,需要妥善規劃適合的買法。
因此當 SIEM 市場環境成熟發展之際,
在授權成本、雲地整合應用以及成熟部署經驗等面向上,
成為買方市場在選擇 SIEM 解決方案時的幾項關鍵指標。
且在核心 SIEM 的計價與功能之外,
UBA / SOAR / 威脅情資等額外強化 SIEM 應運的關鍵功能,
也會是企業客氣關注在目前各解決供應商供給的解決方案內,
是否需要額外的授權或是成本?以及它能夠替組織帶來多少的效益?
對於企業用戶而言,如何跟選擇不同的解決方案,
延伸閱讀:https://ithelp.ithome.com.tw/articles/10288360
傳統 SIEM 的短板是偵測與回應的時效,
以及在端點位置的威脅可視化,
隨著市場眾多廠家均標榜 XDR 解決方案,
無論各家核心方案為何,均有 EDR 的解決方案在那,
核心概念都是希望透過中控核心的應用,如 SIEM/FW 等,
搭配第一線的 EDR 來強化端點位置的防禦與保護。
故在未來的 SIEM 除了功能、架構、雲地的考量外,
更多的 XDR 的策略或平台解決方案,
亦會是接下來的 5 年會是更方興未艾的發展趨勢,
讓我們一起繼續關注這個成熟的市場,
還會在未來的時間裡如何轉變。
很高興能夠在 25 天的篇幅裡,
每天約莫 2500 字上下的文章,
把自己所學、所知的 SIEM 領域,
試著用更多維度的面向來跟邦友介紹,
這對我來說是個很棒的挑戰與練習。
明天開始,就是「寫在結束」系列的開始,
除了在各篇章談過的,以及陸陸續續小結的內容,
我也會在這五篇去補充值得再多寫一些的內容,
期待下一週的一到五,每天都有精彩好文分享給你/妳。
我們下週一開始啟程返航!