2010年12月8日,ISACA(国际信息系统审计协会)对外正式发布了一份有关SIEM技术的研究报告——《 Security Information and Event Management (SIEM): Business Benefits and Security, Governance and Assurance Perspectives》。该报告从商业价值、IT治理及IT保证等角度分析了SIEM技术。
这个白皮书最大的特点在于为企业和组织用户详细介绍了一套方法论,知道他们理解什么是SIEM,SIEM有何价值,应该如何导入一个SIEM项目?在进行 项目策划(规划)的时候,应该遵循什么样的方法和步骤,要考虑到哪些SIEM项目的陷阱?对于用户比较有指导意义。对于从事SIEM咨询、实施的人员也有 很大的参考价值。

针对安全人员不得不从海量事件中寻找有价值的信息的困境,ISACA认为SIEM技术主要用于帮助企业和组织回答两个问题:
1)在每天收到的海量事件中,那些告警和安全事件日志才是我需要关注的?
2)如何才能够从IT架构中不断增长的海量设备日志中提取出有意义的和指导性的信息?
     
该白皮书首先引用Gartner的分析报告对SIEM进行了一个定义,并经典性地将SIEM分为了SIM和SEM两个部分。这两个子集的定义与Gartner的定义基本一致,我不再赘述。为了方便大家引用定义,这里不进行翻译:
SEM was a technology solution that focused on real-time or near-real-time monitoring, correlation and processing of security events. These events were typically alerts generated by a network security device, such as a firewall or intrusion detection system (IDS), because the device had detected potentially malicious network or host activity that matched a preconfigured pattern.
SIM focused on the historical analysis of log file information to support forensic investigations and reporting. SIM often looked at the same events as SEM, but not in real time. Central to the SIM solution was event and log storage and archival, searching and analysis functions, and robust reporting capabilities.
另外,ISACA指出,SIEM技术的事件源已经不仅局限于上述设备,并且已经扩展到更广泛的企业系统范围之中。

ISACA认为SIEM技术应该包括以下几个具体的功能:
1)数据收集(Data Collection)。包括收集的设备及系统对象,以及收集的协议类型;
2)数据聚合(Data Aggregation)。主要是指如何将分散的事件收集到一起的过程。
3)数据归一化(Data Normalization)。也有叫数据范式化。特别地,处于合规的考量,数据在归一化的时候都应该保留原始日志以备合规调查取证之需(ISACA比较看重于此)。
4)事件关联(Event Correlation)。通过基于规则的事件关联分析引擎将特定时间窗口中符合某种规则的多个事件联系起来,识别出异常行为。需要注意的是,关联规则数量和复杂度会对分析性能产生负面影响,因此并不是说规则数量越多越好,关键是要适合需要。
5)告警(Alert)。
6)报告(Reporting)。ISACA将其看作是SIEM的核心功能,因为处于合规的需要,管理员使用SIEM大部分的时间都会集中在看报告上。 【需要指出的是,报告不等于报表!亦非多份报表的组合。对此,国人多有误解。如果一定要对应起来,Reporting应该包括统计分析、报表、报告。】
7)取证分析(Forensics)。主要是指高效的数据搜索,通过取证来发现异常和违规。数据归一化和关联分析可以看作是取证分析的组成部分。同样,可以高度定制化的搜索条件以及Drill-Down(下钻)功能对于审计师而言十分有必要。
8)中央管理控制台(Central Manangement Console)。所有功能的入口。

在定义完SIEM并分析了其组成功能后,ISACA重点从商业利益、IT治理和等角度分析了SIEM的意义和作用。
(一)SIEM的商业利益(业务价值)包括:
1)安全技术投资的价值增值,即充分发挥已有安全系统的价值。
2)全面高效的报告。
3)降低投资和运维成本。尤其是可以将其与LM、DAM等技术整合起来。
4)降低违规的风险。尤其是在外审的时候,至少可以起到尽职的作用。
5)获得对信息安全更为广泛的组织支持。安全事关企业和组织的各种人员,但往往难以让大家有效协同起来。而一个好的SIEM系统则可以起到这个作用,有助于打破部门之间的壁垒,建立起对组织整体安全及风险管理的一致认识和行动。
6)实现对安全突发事件的早期检测。

(二)实现SIEM系统过程中存在的风险,包括:
1)SIEM的产品/平台/开发模型与实际的日志量不匹配,导致系统性能低下;
2)低效或不完善的应急事件响应流程,导致错过对重要事件进行处理,或者处理不当;
3)缺乏对SIEM系统的持续调优和配置的计划或者流程,导致错报,事件解析错误,或者事件丢失,以及采集不到关键系统的事件,系统性能下降;
4)SIEM系统不支持企业或者组织中的关键系统,例如无法收集信息或者会破坏这些关键系统的安全性、完整性;
5)在使用和管理SIEM系统方面资源不足。系统用不起来,作用就难以发挥。而SIEM系统对于使用者的要求比较高;
6)SIEM系统部署的时候需要部署大量的代理,这不是一个好主意;
7)各个系统平台之间没有做好时间同步,如此一来事件无从关联;
8)缺少分析事件所需的具体系统相关的专家。也就是说,事件分析不是安全人员单方面的工作,还需要所涉及的具体相关系统的专家的支持。例如安全人员发现了 一个针对某系统数据的异常访问,这需要那个系统的DBA去深入调查这个访问,包括是否是异常,影响有多大,等等。这需要一个跨部门的事件响应与处理机制。

(三)SIEM在IT治理和变更管理方面的考量
SIEM的使用对于GRC可以产生积极的影响。同样,基于IT治理的思想来考察一个SIEM项目的时候,仔细的规划和沟通对于确保SIEM解决方案符合企 业或组织中的利益相关方的预期、支撑业务目标、以及增加企业价值都至关重要。计划与沟通对于告知企业和组织相关人员在引入SIEM后所带来的流程变更的时 候同样十分关键。随着SIEM实施的逐步展开,可以参照以下几条指引,将有助于企业或组织在采购、集成和部署SIEM系统的过程中建立起对于可能带来的变 更和影响的合理预期。
1)确保SIEM项目的所有利益相关方都建立起了各自对于SIEM方案的合理预期和明确目标。正如我之前所说,期望越大,失望越大。
2)定义范围。所谓“Don't boil the ocean”。 最好的方式是事先建立一套使用SIEM的用例,并与相关部门的人进行研讨、修订,并最终确认下来。这些相关部门的人,也即利益相关方,可能涉及内审、合 规、风控部门,或者IT安全、IT运维、IT架构部门、法律顾问,关键的业务领导,等等。此外,在建立用例的时候,可以根据这些用例列出一张本企业或组织 需要采集的设备事件源,以及事件类型等信息。这将有助于后续采购SIEM产品所用。此外,用例的建立也有助于后期建立合理的工作流程,并将适当的人员纳入 其中。
3)事先考虑到SIEM系统导致的变化及法律后果。好的SIEM系统会带来合规管理、安全事件管理的效率提升,降低工作负担,但是,同样可能带来新的工 作,例如可能会新增一些工作职责,工作流程,并可能对现有业务体系造成影响。其实这也完全正常。毕竟,有了SIEM后,工作效率提升了,以前没有精力关注 的事情自然要考虑进来。这就像经常有人说“没上管理系统之前,没觉得工作有啥,上了以后,怎么工作突然多了起来?"一样。在没有上SIEM的时候,管理人 员可以说事件太多,处理不过来,同时导致很多后续的工作也就搁置起来。但是上了SIEM以后,后续工作也就提上了日程,没有借口回避了。ISACA的这个 白皮书也列举了一些类似的例子。总之,要考虑清楚上了SIEM之后相关人员的工作流程的变化,并将这些变化告知相关部门、相关人,重新梳理岗位职责。别等 到真正用起来的时候才考虑,就晚矣。

从IT治理的角度来说,企业和用户上SIEM不仅是一个技术问题,同时也是一个管理问题,需要认真做好各方面的规划。否则,难保成功。

(四)SIEM在IT保证方面的考量
IT保证的角度来说,对于从事企业IT保证的团队和专家而言,对于SIEM系统可以从以下四个方面加以关注:
1)策略和治理。事实上,如果企业或组织事先没有真正建立起安全治理的策略、方针和程序,上SIEM更多则是基于一些零散的现实的需求或者是拍脑袋的决定。可实际上,大部分项目何尝不是如此?不过,从理论上来说,策略方针总是第一位的。一个建议:可以通过前期的安全咨询项目再导入SIEM项目。
2):这里比较强调的人是指SIEM项目组的人。企业或者组织在上SIEM的时候,应该建立一个SIEM项目组,这个项目组人员应该能够代表各个部门的利益,制定出可行的SIEM目标、策略和计划。SIEM运维人员的技能和培训也是考虑到的。
3)流程:SIEM系统要收集来自各个地方的信息,分析并告警,交由相关人员进行处理反馈,SIEM系统自身还有一个维护的工作,这些都需要有比较清晰的流程。例如事件采集,例如事件响应处理。
4)技术:这里最关键的就是要考虑到SIEM系统与当前整个企业或组织的IT架构和安全技术要求的一致性、契合度。例如,是否能够与现有IT架构进行整合?如何整合?多大修改的工作量和影响性?是否符合本企业或组织的灾备策略?数据安全策略?等等。

总之,上一个SIEM系统,理论上可以提升企业和组织的安全与合规能力。但是上SIEM的过程很有讲究,需要合理的规划、建设、维护,需要清楚的了解企业自身的现状、制定合理的目标和预期,界定清晰的范围,达成系统所有参与方的一致,在人、流程和技术等各个方面未雨绸缪。