2023年8月21日,gartner發布了乙份新的siem報告:overcoming common causes for siem deployment failures。作者是一位剛從hp跳到gartner的新人oliver,目前跟mark nicolett在乙個team。
報告提出了當前siem部署失敗的6個常見原因:計畫不周、範圍不清、期望過高、雜訊過大、情境不夠、資源不足。原文是:failure to plan before buying,failure to define scope,overly optimistic scoping,monitoring noise,lack of sufficient context,insufficient resources。
oliver表示,儘管siem技術在近幾年已經大有改觀,但當前在gartner調研過的客戶中,依然有20%~30%失敗的案例,有的沒有達到預期的目標,有的甚至束之高閣。
當然,oliver在報告中不是貶低siem,而是總結了siem失敗的原因,並認為很多失敗其實都是可以避免的。
oliver提出了解決之道(最佳實踐):一套程式化的siem規劃、選型、採購、部署、實施流程。其實,這套最佳實踐也不是什麼新理論,一直我也都在宣傳。
我的觀點:在購買之前,很重要的一點就是客戶自身要搞清楚自己想要什麼?不是簡單的願望(vision)和一些虛泛的需要(need),而應該先成立乙個專案組,能夠involve專案的關鍵資源和人。然後這個專案組要制定乙份較為清晰的專案需求(requirement),包括確定管理的物件(業務、資產、關鍵裝置)——界定範圍,設計要實現的典型場景(scenairo)——還是界定範圍,找到當前最需要解決也最有可能解決的問題點——依然是界定範圍。有了較清晰的需求,就可以進行選型和採購。購買符合需求的產品比購買乙個技術先進的產品往往更難。技術先進與否往往容易比較,無論是橫向對比,還是產品測試。但評估是否滿足自身需求卻不易,因為很可能你自己都不知道你自己需要什麼?這也凸顯了自身需求分析的重要性。在實施階段,一直要保持乙個謹慎的心態,對管理層也要傳達乙個審慎樂觀的資訊。乙個基本的方法就是根據規劃階段既定的方針路線,逐個落實使用場景和用例。oliver說在實施的頭半年實現5到7個用例就不錯了。我認為能實現3個在國內都很棒了。當然,這又回到的專案立項之時,從管理層到執行層是否已經建立好了對siem/安管平台專案的正確認知和合理預期。在維護階段,人是關鍵因素,我已經說過n遍了,無論如何,好的,一定數量的安全分析師是必不可少的。
看完之後,是否覺得害怕soc/siem?倒也不必,在國內,我一直倡導的最佳實踐總結一下就是:
規劃階段——整體規劃、分布實施、逐步落實;
建設階段——技術與服務並重,建設與運維並舉;
使用階段——充分借助外腦,利用代維服務。
oliver最後說道:不是所有組織都適合上siem,這與該組織整體的安全建設成熟度有關。我覺得,這裡的成熟度不僅包括物質上的,技術上的,也包括意識上的、機制上的。
Gartner 2023年SIEM市場分析(MQ)
2013年5月7日,gartner一年一度的siem magic quadrant報告出爐了。如下圖 對比一下去年的mq矩陣 簡言之,上榜廠商減少到16個,q1labs在三強競爭中稍占上風,arcsight有所退步,splunk終於躋身第一陣營,而novell則退居二線,symantec繼續下滑。具...
Gartner 2023年SIEM市場分析(MQ)
2013年5月7日,gartner一年一度的siem magic quadrant報告出爐了。如下圖 對比一下去年的mq矩陣 簡言之,上榜廠商減少到16個,q1labs在三強競爭中稍占上風,arcsight有所退步,splunk終於躋身第一陣營,而novell則退居二線,symantec繼續下滑。具...
Gartner 2023年SIEM市場分析(MQ)
2013年5月7日,gartner一年一度的siem magic quadrant報告出爐了。如下圖 對比一下去年的mq矩陣 簡言之,上榜廠商減少到16個,q1labs在三強競爭中稍占上風,arcsight有所退步,splunk終於躋身第一陣營,而novell則退居二線,symantec繼續下滑。具...