RSA2013系列（2）：SIEM的内涵与外延正在发生改变

以APT为代表的新型威胁日益增加，以及网络战的议论喧嚣尘上，人们的注意力重新又定位到了防范外部攻击之上。SIEM的发展已然受到了影响，或者说SIEM正在主动迎合这种变化。

其实，最早的SIEM就是从IDS演进而来，或者说就是为了防范攻击与入侵而来。但是起初的路并不好走。随着SOX的出现，以及合规管理的蓬勃兴起，SIEM搭上了一个合规性需求的快车，也促成了SIEM的一个大发展阶段。我们姑且可以将这个时代的SIEM看作是第二代SIEM。那么，从2010年后，新型威胁的显现，SIEMer们又开始回归攻击与入侵检测。同时，这个回归不是简单的重复，而是融入了全新的技术和理念，我们可以称这个时代的SIEM为第三代。

第三代的SIEM是什么样子的呢？没错，它很时髦，往往被冠以BDA（大数据分析）的帽子，哦，还有，安全智能（Security Intelligence），或者智能安全，就像传统信息技术领域的BI（商业智能分析）那样酷。

第三代的SIEM以SI为目标，以BDA为手段，协助客户获得全网的安全态势感知，透过持续的安全监测，防范外部的高级入侵和攻击，同时确保网络内部的合规性。

是的，还有态势感知（Situational Awareness），持续监测（Continuous Monitoring），这些词当下在北美十分热门，因为美国政府都在提这两个词。在北美，SIEM的一个很大客户就是美国的联邦政府。

没完，第三代的SIEM还有更加深刻的技术变革！在这次RSA大会的Exhibition上，我认识的SIEM厂商几乎都到齐了。而看技术，更加需要看那些小一些的SIEMer，那些challengers，如果你仔细了解一番，就会发现些许端倪。呵呵，我这里先不挑明。其实，在过去两年间，这些技术创新和革新已经逐步显现，我的博客中多有表述。

在大会上，有一个splunk的主题讲演，叫做：Big Data and Security : At the Edge of Prediction。他们提到了一个在BDA技术支撑下的SIEM与传统SIEM的一个很大不同。传统的SIEM在采集事件的过程中比较重视过滤、归并、分拣、提取等，一方面是为了提升后续分析的事件质量，另一方面也是为了后续分析的性能。而新的SIEM，在有了BDA技术后，逐渐弱化了这些功能。这样一来，获得的好处就是能够更为广泛的去分析数据，获得更多的相关性。

这让我一下子想到了中国移动SMP和4A，他们很强调数据分拣，以期在提纯后的数据集合中高效地进行数据分析。但这种我称之为“搓堆”的方式割裂了“数据堆”之间的相关性。感觉这种设计更多处于性能考量下的不得已为之。其实，如果有了BDA技术，分拣只是逻辑上的存在，数据物理上的分布与逻辑上的分布完全是两个层次。在BDA技术的支撑下，我们能够获得更广泛的数据分析能力。

传统的事件流都是漏斗型（funnel）的，而在未来，事件流在被应用各种并行分析算法之前是管道型（pipeline）的，漏斗只是业务逻辑上的存在。