以APT为代表的新型威胁日益增加,以及网络战的议论喧嚣尘上,人们的注意力重新又定位到了防范外部***之上。SIEM的发展已然受到了影响,或者说SIEM正在主动迎合这种变化。

其实,最早的SIEM就是从IDS演进而来,或者说就是为了防范***与***而来。但是起初的路并不好走。随着SOX的出现,以及合规管理的蓬勃兴起,SIEM搭上了一个合规性需求的快车,也促成了SIEM的一个大发展阶段。我们姑且可以将这个时代的SIEM看作是第二代SIEM。那么,从2010年后,新型威胁的显现,SIEMer们又开始回归***与***检测。同时,这个回归不是简单的重复,而是融入了全新的技术和理念,我们可以称这个时代的SIEM为第三代。

第三代的SIEM是什么样子的呢?没错,它很时髦,往往被冠以BDA(大数据分析)的帽子,哦,还有,安全智能(Security Intelligence),或者智能安全,就像传统信息技术领域的BI(商业智能分析)那样酷。

第三代的SIEM以SI为目标,以BDA为手段,协助客户获得全网的安全态势感知,透过持续的安全监测,防范外部的高级***和***,同时确保网络内部的合规性。

是的,还有态势感知(Situational Awareness),持续监测(Continuous Monitoring),这些词当下在北美十分热门,因为美国政府都在提这两个词。在北美,SIEM的一个很大客户就是美国的联邦政府。

没完,第三代的SIEM还有更加深刻的技术变革!在这次RSA大会的Exhibition上,我认识的SIEM厂商几乎都到齐了。而看技术,更加需要看那些小一些的SIEMer,那些challengers,如果你仔细了解一番,就会发现些许端倪。呵呵,我这里先不挑明。其实,在过去两年间,这些技术创新和革新已经逐步显现,我的博客中多有表述。

在大会上,有一个splunk的主题讲演,叫做:Big Data and Security : At the Edge of Prediction。他们提到了一个在BDA技术支撑下的SIEM与传统SIEM的一个很大不同。传统的SIEM在采集事件的过程中比较重视过滤、归并、分拣、提取等,一方面是为了提升后续分析的事件质量,另一方面也是为了后续分析的性能。而新的SIEM,在有了BDA技术后,逐渐弱化了这些功能。这样一来,获得的好处就是能够更为广泛的去分析数据,获得更多的相关性。

这让我一下子想到了中国移动SMP和4A,他们很强调数据分拣,以期在提纯后的数据集合中高效地进行数据分析。但这种我称之为“搓堆”的方式割裂了“数据堆”之间的相关性。感觉这种设计更多处于性能考量下的不得已为之。其实,如果有了BDA技术,分拣只是逻辑上的存在,数据物理上的分布与逻辑上的分布完全是两个层次。在BDA技术的支撑下,我们能够获得更广泛的数据分析能力。

传统的事件流都是漏斗型(funnel)的,而在未来,事件流在被应用各种并行分析算法之前是管道型(pipeline)的,漏斗只是业务逻辑上的存在。