http://disiem-project.eu/index.php/publications-deliverables/
一、项目关键的事实
尽管siem是现代安全操作中心的基本工具,但是当前的siem在用于收集事件、存储数据和报告信息的方法和手段上有很多限制。
(1)DiSIEM项目的基础是使用可伸缩的信息提取和机器学习算法和工具,从多个大数据源(监控基础设施、开源智能、社交网络、安全新闻提要、咨询组织等中的传感器)提取信息,并在概率方法和高级可视化工具的辅助下,向SIEMs提供信息,用于威胁预测和增强风险评估。
(2)DiSIEM还希望装备现有的SIEM系统,使其具备评估监控和保护设备的各种配置、基于应用程序的新型误用检测和对选定事件的安全云备份长期存档的能力。
(3)DiSIEM组件可以应用于任何支持自定义连接器并提供对事件存储的访问的现有SIEM。
(4)DiSIEM组件可以单独使用,也可以一起使用,从而扩大了项目结果可以产生影响的范围。
(5)DiSIEM组件将在三个大型组织的生产环境中进行验证:电力公司(EDP)、大型旅游服务公司(Amadeus)和SIEM和安全供应商(Atos)。
(6)DiSIEM开发业务模型考虑将由向SIEM运营商(DigitalMR, Atos)提供服务的合作伙伴、在内部运营大型SIEM的合作伙伴(Amadeus, EDP)和主要由研发合作伙伴(FFCUL, CITY, FHG)创建的启动计划支持的组件。
(7)该项目分为6个技术工作包和3个额外的工作包,用于伦理、传播、开发和管理活动。
(8)该项目将持续三年,从2016年9月开始,总预算约400万欧元。
(9)该财团将得到包括公共和私营部门代表在内的顾问委员会的协助和建议。
二、DISIEM目标
DiSIEM项目旨在解决已经部署在生产环境中的SIEMs的局限性。该项目将通过扩展当前系统,利用其内置的扩展和自定义能力,来解决这些限制,而不是为未来的SIEMs或对现有系统的修改提出新的体系结构。该项目的核心思想是通过多种多样的机制来增强现有的SIEM系统,这代表了当前技术的五个主要进步:
(1)整合不同的OSINT(开源智能)数据源,如NIST的国家漏洞数据库、漏洞和供应商提供的补丁数据库;组织之间共享的威胁情报数据(例如,Internet地址、url和文件声誉数据库,如SANS ISC、VirusTotal、ThreatExpert、SpamHaus、OpenBL、EmergingThreats等);来自社交网络(如Twitter、Facebook、LinkedIn)的安全博客和数据流,用于暗网的协作平台(如Pastebin),搜索引擎和在线存储库(如谷歌黑客数据库、Shodan、/ ARIN、Whois),基于标准的妥协或IOC指标(如STIX和OpenIOC),以及许多其他。需要获取、分析、标准化和融合这些数据,以确定关系、趋势和异常,从而帮助应对新基础设施的新漏洞,甚至预测可能出现的对SIEM监测的基础设施的威胁。
(2)开发新的概率安全模型和基于风险的度量,帮助安全分析师决定哪种基础设施配置提供更好的安全保证,并提高soc向c级管理人员传递组织状态的能力。
(3)设计新颖的可视化方法来呈现不同的实时和归档数据集,通过从数据中提取高级安全洞察力来更好地支持决策过程,这些数据将被与操作SIEM的soc一起工作的安全分析师使用。
(4)为了增加提供给系统的事件的价值,我们计划将不同的、冗余的和增强的监视功能集成到SIEM生态系统中。他们的想法是使用一套不同的工具来增强传感器和保护工具。例如,通过使用三种不同的入侵检测系统来监控网络的同一关键部分,我们可以对这些系统产生的警报有更高的信心。实现这些机制需要对安全性的多样性进行概率建模,以确定哪些工具组合更有效,以及可以预期的改进程度。同样,我们建议为业务关键型应用程序部署和集成新的行为异常检测器,从而提高SIEM对这些受监视应用程序的功能安全状态的可见性。
(5)添加对公共云存储服务中事件的长期归档的支持。为了满足此类数据(包含大量敏感信息)的安全需求,我们将这些事件存储在不同的云提供商(如Amazon、Windows Azure、谷歌)中,并采用秘密共享、信息散布等技术。
这些贡献将通过一组工具和组件以插件的形式实现,这些插件可以集成到现有的SIEM系统中。例如,通过OSINT源获得的冗余的各种分析和趋势可以提供给SIEM,而新的可视化和分析工具可以通过从SIEM事件数据库获取数据来集成。下面的图中显示了用DiSIEM增强的SIEM实现的设想架构。
三、预期结果
本项目的主要结果将是设计和执行若干组成部分:
用于分析、评估和指导管理基础设施中各种安全机制的最佳部署的技术和工具,包括多层次的基于风险的度量。(见传单)
一个基于osint的安全威胁预测器。(见传单)
一套丰富的增强交互式可视化系统,用于提高运行SIEM的安全分析师的决策支持质量。
用于部署各种冗余传感器的框架。
一种新的基于应用程序的异常检测器,用于补充其他传感器和检测应用服务器中的欺诈。(见传单)
允许在不同的云中进行长期事件归档的组件。(见传单)
通过选择扩展方法而不是开发一个新的SIEM(或者期望供应商更改他们的系统以适应我们的增强),我们期望更快地促进创新,并最大化项目结果的影响和业务潜力。
四、方法
DiSIEM将汇集多种技术的研究,包括机器学习、安全评估的概率模型、应用程序行为监视、数据可视化的新方法、云存储和安全关键性能指标。这些技术将用于增强现有的siem。该项目将分五个阶段执行(见下图)。
为了实现DiSIEM目标,项目的第一步将是详细研究最突出的siem,以评估这些系统的可扩展性特性。我们已经知道,所有这些系统都有能力创建新的自定义连接器并允许查询它们的事件数据库。但是,我们将研究并清楚地确定应该如何使用这些特性,并比较这些可扩展性功能在SIEMs之间的差异。作为最初的目标,我们的目标是清楚地调查和确定我们将在我们的项目中使用的三种不同的成熟的SIEM系统的扩展能力:HP ArcSight、IBM QRadar和AlienVault OSSIM。我们正在为DiSIEM增强考虑的一些替代SIEMs选项包括用于企业安全、OpenSOC和基于elk的平台的Splunk应用程序。
了解了如何扩展系统,我们将定义一个参考体系结构来指导将新组件集成到SIEM。该体系结构将定义所开发增强功能的关键组件和职责,确保它们可以轻松地协同工作。
在这项活动的同时,将对DiSIEM项目的所有技术领域进行深入的现状分析。我们将编制详细的报告,总结研究结果,并界定新组件的需求。在这一阶段之后,每个组件将被开发,主要是独立的,导致所有相关合作伙伴都同意的详细设计文档的产生,在此之后,我们将实现之前概述的增强工具和机制,并集成对现有SIEMs的贡献。这些报告和组成部分将构成本提案第3节详细说明的项目的可交付成果。
所有开发的组件将由每个合作伙伴进行内部测试和验证,遵循软件开发中使用的标准测试和质量保证方法。在此阶段之后,所有组件都将提供给运行SIEMs的合作伙伴。这些合作伙伴将为组件定义验证计划,并通过两阶段部署将它们集成到SIEMs中:
首先,他们将在他们维护的受控(非生产)环境中部署组件,以测试SIEMs的新配置和组件(所有运行SIEM的合作伙伴都已经有了)。这将支持对组件进行安全的第一阶段验证,并识别任何集成或性能问题。负责开发组件的合作伙伴将随时可以纠正任何问题或关注点,并根据操作人员的反馈进行增强;
验证的第二阶段将通过在工业合作伙伴生产环境中的受控部署来完成。