一份調研報告顯示SIEM的將來發展十分樂觀

在作網絡安全市場調研分析報告這塊，老外一直比較會玩，儘管國內的諮詢機構和媒體也在快速跟上。針對國外的分析報告，就我我的承認的權威性而言，Gartner天然是排在我心目中第一位的，其次是IDC、Forrester。這類報告的水平很大程度上取決於諮詢機構的影響力和分析師的水平。而要說到問卷式調研報告，比較著名的SANS，Ponemon，ESG則基本都是這個套路。這類報告的水平關鍵在於調研的方法論和參與者的樣本空間。此外，4大，Verizon也會按期不按期地出具一些混合客戶調研和自身分析觀點的報告。

此次要分享的調研報告是關於SIEM的，來自一個並不很知名的媒體，叫cybersecurity insiders，報告名字叫《2019年SIEM報告》。

之因此最終將放其在個人博客上進行介紹，就在於知名機構對SIEM的市場調研分析報告十分罕見。可貴有一份專門針對SIEM的調研報告，不管其質量好壞，仍是能夠參考一番的。注意：如下的觀點靠譜度本人沒法覈實（譬如報告沒有給出調研的樣本空間大小，僅有分類），僅供參考。固然，我以爲仍是有必定參考價值的。

整份報告對於SIEM持十分樂觀的態度（可能更討廠商的喜歡）。

報告首先表示：76%的受訪者認爲SIEM對於組織的安全十分重要。其中，69%的人使用了SIEM，還有21%計劃使用SIEM，僅有10%沒有計劃部署SIEM。從部署方式上看，部署在客戶自身網絡中的比例依然是主流，達到54%，有25%的部署模式採用服務模式。

在對SIEM的滿意度上，49%的受訪者表示滿意甚至是十分滿意，37%表示部分滿意，不滿意的佔14%。這個滿意度已經至關高了。對此，我是沒有那麼樂觀的，即使是在美國這個SIEM成熟市場，滿意度恐怕也沒有那麼高，若是多看看SANS的調研報告，或者Gartner的分析報告的話。固然，這還取決於對SIEM的定義範疇。個人討論都是創建在Gartner對SIEM的定義的這個基礎上的。

在SIEM的收益方面，報告給出了幾個點的排序，我感受比例不是那麼重要，這幾點內容卻是有點意思（這也取決於問卷設計人的思路）。報告認爲SIEM收益從大到小依次是：快速檢測與響應、更高效安全運維、更好的威脅可見性、更好的IOC優先級排序、更好的合規、更好的威脅分析。

報告還對SIEM之於信息泄露的做用作了調查，結果顯示，76%的受訪者認爲SIEM對組織信息泄露有做用，75%的人表示SIEM對於提高威脅檢測能力有幫助。

在對可能的安全事件和安全失陷進行快速檢測方面，40%的認爲表示經過SIEM能夠作到分鐘級的響應。

在檢測***方面，最有效的是檢測非受權訪問（46%）、高級持續行***（42%），內部***（包括惡意和無心）（37%），以及惡意代碼、web***、帳號/服務/資源劫持、勒索軟件、釣魚***、DoS/DDoS、0day***、挖礦等。

報告還總結了幾個經典的SIEM用例，並根據調研問卷結果對其重要性進行了排序，依次是：

• 對跨多個系統和應用的行爲進行監測、關聯與分析；

• 發現外部和內部威脅；

• 監測用戶行爲；

• 監測服務器和數據庫訪問；

• 輸出合規報表；

• 監測雲和自有混合的基礎設施；

• 檢測雲中威脅（包括CASB）；

• 檢測工控或垂直領域的***（譬如醫療、金融欺詐）；

• 提供支撐事件響應的分析與工做流。
  

報告還簡要地提供了幾個評估SIEM的關鍵指標，重要性從高到低依次包括：成本、產品性能與效果、產品特色與功能、產品支持、產品易用性。

報告表示，SIEM價值最大化的最大障礙是缺少有技能的安全專業人員，而這也爲威脅管理的自動化技術應用帶來了契機。而在將來12個月的威脅管理技術投入優先級這塊，依次是威脅檢測（55%）、威脅獵捕（48%）、威脅調查與分析（44%）。