SOAPA來臨，SIEM時代終結？

安全信息和事件管理（SIEM）產品及服務負責從大量企業安全控制項、主機操作系統、企業應用和企業使用的其他軟體中收集安全日誌數據，並進行分析和報告。

有些SIEM還可以試圖阻止它們檢測到正在進行的攻擊，這可能幫助阻止破壞或者限制成功攻擊可能造成的損壞。但是這段時間SIEM似乎遇到了強有力的挑戰，現在的市場在推一種名叫SOAPA的概念，有些人說它會取代SIEM，果真如此嗎？

SIEM從2005年正式誕生到現在，也就10多年時間。這段時間內，SIEM經歷了從周邊安全事件關聯工具到安全分析系統的演變，最後成為一枝獨秀。

其早期供應商eSecurity，GuardedNet，Intellitactics和NetForensics也早已隨著時光流逝不復盛況。今時今日，SIEM市場被LogRhythm，McAfee，HP，IBM以及Splunk等一些寡頭壟斷。

SIEM供應商概貌

而且有些激進分子認為SIEM是一種過時的的技術。他們認為，日誌管理和事件關聯根本無法跟上網路安全的發展的步伐。因此，我們需要新的技術來改變這種境況，比如人工智慧、機器學習演算法以及神經網路來對實時安全數據進行處理和分析。

還有一群「幫凶」也在無形之中給予他們支持，這群「幫凶」就是行業分析師，一些行業分析師唱衰SIEM，大肆宣揚「SIEM死亡論」。難道SIEM真的已死？其實也未必。企業的安全運行和分析需求迫切需要將以前的技術整合成一個新的東西。

SOAPA是什麼？

於是乎，被ESG（Enterprise Strategy Group-

企業戰略集團

）稱作SOAPA（ a security operations and analytics platform architecture -

安全運作和分析平台架構

）的平台應運而生。

這個平台包含類SIEM的功能，並且，SIEM本身的功能在其中仍然扮演著十分重要的角色，這些功能會將分析過的數據匯總到公共庫中存儲起來。與過去一枝獨秀的地位不同，現在的SIEM只是SOAPA平台中的某一個組成部分。

這些技術設計需要以非同步協作作為前提，這樣才能讓安全工程師迅速通過工具找到數據並根據需要採取行動。

SOAPA是一個動態的架構，這意味著隨著時間的推移，新的數據源和控制平面還會遞增。另外，SOAPA本身就是基於SIEM開發的，那麼SOAPA是否本身就只是個新的營銷噱頭呢？實際上，除了有與SIEM類似的功能之外，SOAPA還有以下的幾個功能模塊：

端點檢測/響應工具（EDR）

安全分析家經常想要通過監測和調查主機行為深挖安全警報，所以EDR（這個領域的主要玩家有Carbon Black，Countertack，CrowdStrike，Guidance Software等）成為了SOAPA的重要組成部分。

我們在先前的 Carbon Black分析文章中提過，EDR是一個類別工具和解決方案，專註於檢測、調查和減輕在主機或端點的可疑活動。

事故響應平台（IRP）

我們知道，網路專家的工作除了收集，處理和分析數據的安全性之外，還需要儘快給警報排定優先順序以及處理這些警報。基於上述需求，Hexadite，Phantom，Resilient System（IBM），ServiceNow和Swimlane等IRP平台相繼誕生。

網路安全分析

SIEM的日誌分析和EDR主機行為監控都會由SOAPA中

的流量和數據包分析來執行，這部分市場的主要玩家包括了

Arbor Networks，Blue Coat/Symantec，思科（Lancope）和RSA。

UBA /機器學習演算法

雖然UBA、機器學習等工具被業界過分炒作，但毫無疑問，機器學習在今後會大有作為，肯定會用於安全分析，正因為如此有潛力，業界大佬，如Bay Dynamics，Caspeda (Splunk)， Exabeam，Niara，Sqrrl and Varonis等都應該出現在SOAPA陣營中。

漏洞掃描器和安全資產管理

了解哪些警報需要優先順序處理，是安全運行的重要組成部分。如果要做出這個決策，我們就不得不藉助漏洞管理系統（如Qualys，Rapid7，Tanium）中的可靠數據和其他工具（這些工具監控系統狀態和網路配置）來驅動，在這些數據和工具的幫助下，我們才可以做出決策。

反惡意軟體沙箱

我們知道，有些針對性攻擊可能會採用0day惡意軟體來發動。有了這項技術後，我們就可以很容易的對這類攻擊進行更充分的理解了。FireEye，Fidelis和趨勢科技的沙箱肯定會成為SOAPA的一部分。

威脅情報

威脅情報也就是：「對敵方的情報，及其動機、企圖和方法進行收集、分析和傳播，幫助各個層面的安全和業務成員保護企業關鍵資產。」

通常情況下，為了自己的企業安全，企業組織想要將內部網路異常與外部的惡意軟體活動作對比，以收集情報，化解危險。

正是因為企業有這個需求，SOAPA才延伸到威脅情報的來源和其他平台（如Brightpoint，FireEye/ iSight的合作夥伴，RecordedFuture，ThreatConnect，ThreatQuotient等）。

除了技術本身之外，這裡還有一些關於SOAPA的其他想法：

1、除了安全工具之間的數據交換，

下一個較大的創新將來自於由中央SOAPA指揮和控制的安全基礎設施的分析和管理

（如配置管理，策略管理等）。

2、市場方面，市場已經在朝著SOAPA這邊偏移。IBM對Resilient System的收購，Splunk對Caspida的收購以及 Elastic Search對的收購就是對這個趨勢的最好見證。

3、眾所周知，McAfee已經從英特爾獨立出來，預計這家公司會投資其企業安全管理平台，以壯大自己在這方面的優勢。另外，McAfee也在加快步伐，將自己的工具和生態夥伴與SOAPA技術集成起來，以及進行一些相關的收購，以填補架構方面的欠缺。

4、從上文可知，SIEM仍然在SOAPA中處於核心地位，它的優勢還是比較明顯，鑒於此，一些企業（CA？Palo Alto? Symantec？ Trend Micro?）或許會對LogRhythm進行收購，以搶佔先機。

5、以上提到的各個技術要素都可以在內部或通過SaaS傳遞。因此SOAPA必須足夠靈活才能適應這些選項。

6、在搭建SOAPA時，規模要足夠大，特別是企業組織提高了雲計算和物聯網使用比例後，對規模這一需求就變得更為急切。我們也相信，雲分析和存儲在未來會成為SOAPA的一部分。

7、就目前的形勢來看，一部分供應商可能提供自己專有的解決方案，但有些企業客戶應該就不會買賬了，他們有可能不採用單一供應商的解決方案，他們在搭建SOAPA方案的時候，會和那些比較一流的供應商和生態合作夥伴一起合作。

而實力不足的中小企業則可以從單一解決方案供應商或者SaaS供應商處購買。

總結

我們不能說SIEM就此要被取代，起碼它還是在SOAPA中發揮應該有的作用。SOAPA的出現，只證明了這個行業已經向更好的方向發展了，也表明安全的協作是個大趨勢。SIEM未來還會向雲分析和存儲進軍，將會有更多的SIEM廠商加入SOAPA陣營。

*參考來源：

networkworld

，FB小編latiaojun編譯，轉載請註明來自

FreeBuf.COM

。

請您繼續閱讀更多來自 FreeBuf 的精彩文章: