2012年5月18日,Gartner下属的Burton发表了一篇针对SIEM的分析报告,题为SIEM Futures,预测了未来2到3年的SIEM的5个技术发展方向,分别是:

  • Expanded Context Data Collection and Analysis
  • Shared, Distributed Intelligence
  • Emerging Environment Monitoring
  • New and Expanded Algorithms for Historical and Real-Time Analysis
  • Application Security Monitoring Using Logs, Context and Other Data

报告认为,SIEM已经成为,并将继续成为企业安全监控的核心。SIEM技术已经从原来的一种安全技术逐步演变成数据管理和数据分析技术,而这将成为推动SIEM向未来发展的重要动力。

其实,上述五个发展方向也并无什么惊人之处。但的确着代表了当前业界对于SIEM技术的最新认知。其中的多个方面我的博文中也多次提及,例如我上上周和业内人士交流的时候就涉及了上述大部分观点。

1)上下文感知(Context-Aware)是Gartner早就提出来了的,并且业界也实践了多年。在我看来,上下文信息的获取本质上就是安全要素信息获取在广度上的延伸。理论上,你获得的相关性信息越多,你能分析出来的东西就越多,而分析结论也可能越发准确。

2)安全威胁情报我已经讲过多次了。

3)云计算正在蓬勃发展,在这个新兴技术之下构建的IT环境将会对SIEM技术产生什么样的影响和相互作用,是一个很有趣的课题。也是在上上周的一个交流中,我做过一个题为《云计算环境下的SOC演进》的报告,其中就阐述了我对于SIEM技术与云计算的相互作用关系。简言之,我将其归纳为三种关系:SOC for Cloud, SOC by Cloud, and SOC to Cloud。呵呵。

4)既然安全要素信息更多了,那么后续的分析难度也就更大了,而我们又要分析出安全威胁情报,同时还要兼顾实时分析和历史分析,那么BDA(Big Data Analysis)技术必不可少了。而这其中,关键的分析算法自然就很重要了。我在《安全威胁情报实战》一文中已经提及了这块内容。我只想强调一点,不要将分析算法仅仅停留在一般所谓的基于规则的关联分析算法之上。

5)随着企业生产力越来越依赖于Internet,现在的安全威胁越来越cyberspace化,而WEB和应用的安全将成为未来企业的一个重点。基于Context-Aware,我们应该深入研究Application-Aware(应用感知),Identity-Aware(身份感知),等等。

 【参考】

Gartner分析报告:SIEM技术评估