SOAPA來臨，SIEM時代終結？

安全信息和事件管理（SIEM）產品及服務負責從大量企業安全控件、主機操做系統、企業應用和企業使用的其餘軟件中收集安全日誌數據，並進行分析和報告。有些SIEM還能夠試圖阻止它們檢測到正在進行的攻擊，這可能幫助阻止破壞或者限制成功攻擊可能形成的損壞。可是這段時間SIEM彷佛遇到了強有力的挑戰，如今的市場在推一種名叫SOAPA的概念，有些人說它會取代SIEM，果然如此嗎？

SIEM從2005年正式誕生到如今，也就10多年時間。這段時間內，SIEM經歷了從周邊安全事件關聯工具到安全分析系統的演變，最後成爲一枝獨秀。其早期供應商eSecurity，GuardedNet，Intellitactics和NetForensics也早已隨着時光流逝不復盛況。今時今日，SIEM市場被LogRhythm，McAfee，HP，IBM以及Splunk等一些寡頭壟斷。

SIEM供應商概貌

並且有些激進分子認爲SIEM是一種過期的的技術。他們認爲，日誌管理和事件關聯根本沒法跟上網絡安全的發展的步伐。所以，咱們須要新的技術來改變這種境況，好比人工智能、機器學習算法以及神經網絡來對實時安全數據進行處理和分析。

還有一羣「幫兇」也在無形之中給予他們支持，這羣「幫兇」就是行業分析師，一些行業分析師唱衰SIEM，大肆宣揚「SIEM死亡論」。難道SIEM真的已死？其實也未必。企業的安全運行和分析需求迫切須要將之前的技術整合成一個新的東西。

SOAPA是什麼？

因而乎，被ESG（Enterprise Strategy Group-企業戰略集團）稱做SOAPA（ a security operations and analytics platform architecture -安全運做和分析平臺架構）的平臺應運而生。這個平臺包含類SIEM的功能，而且，SIEM自己的功能在其中仍然扮演着十分重要的角色，這些功能會將分析過的數據彙總到公共庫中存儲起來。與過去一枝獨秀的地位不一樣，如今的SIEM只是SOAPA平臺中的某一個組成部分。這些技術設計須要以異步協做做爲前提，這樣才能讓安全工程師迅速經過工具找到數據並根據須要採起行動。

SOAPA是一個動態的架構，這意味着隨着時間的推移，新的數據源和控制平面還會遞增。另外，SOAPA自己就是基於SIEM開發的，那麼SOAPA是否自己就只是個新的營銷噱頭呢？實際上，除了有與SIEM相似的功能以外，SOAPA還有如下的幾個功能模塊：

端點檢測/響應工具（EDR）

安全分析家常常想要經過監測和調查主機行爲深挖安全警報，因此EDR（這個領域的主要玩家有Carbon Black，Countertack，CrowdStrike，Guidance Software等）成爲了SOAPA的重要組成部分。咱們在先前的 Carbon Black分析文章中提過，EDR是一個類別工具和解決方案，專一於檢測、調查和減輕在主機或端點的可疑活動。

事故響應平臺（IRP）

咱們知道，網絡專家的工做除了收集，處理和分析數據的安全性以外，還須要儘快給警報排定優先級以及處理這些警報。基於上述需求，Hexadite，Phantom，Resilient System（IBM），ServiceNow和Swimlane等IRP平臺相繼誕生。

網絡安全分析

SIEM的日誌分析和EDR主機行爲監控都會由SOAPA中的流量和數據包分析來執行，這部分市場的主要玩家包括了Arbor Networks，Blue Coat/Symantec，思科（Lancope）和RSA。

UBA /機器學習算法

雖然UBA、機器學習等工具被業界過度炒做，但毫無疑問，機器學習在從此會大有做爲，確定會用於安全分析，正由於如此有潛力，業界大佬，如Bay Dynamics，Caspeda (Splunk)， Exabeam，Niara，Sqrrl and Varonis等都應該出如今SOAPA陣營中。

漏洞掃描器和安全資產管理

瞭解哪些警報須要優先級處理，是安全運行的重要組成部分。若是要作出這個決策，咱們就不得不借助漏洞管理系統（如Qualys，Rapid7，Tanium）中的可靠數據和其餘工具（這些工具監控系統狀態和網絡配置）來驅動，在這些數據和工具的幫助下，咱們才能夠作出決策。

反惡意軟件沙箱

咱們知道，有些針對性攻擊可能會採用0day惡意軟件來發動。有了這項技術後，咱們就能夠很容易的對這類攻擊進行更充分的理解了。FireEye，Fidelis和趨勢科技的沙箱確定會成爲SOAPA的一部分。

威脅情報

威脅情報也就是：「對敵方的情報，及其動機、企圖和方法進行收集、分析和傳播，幫助各個層面的安全和業務成員保護企業關鍵資產。」 

一般狀況下，爲了本身的企業安全，企業組織想要將內部網絡異常與外部的惡意軟件活動做對比，以收集情報，化解危險。正是由於企業有這個需求，SOAPA才延伸到威脅情報的來源和其餘平臺（如Brightpoint，FireEye/ iSight的合做夥伴，RecordedFuture，ThreatConnect，ThreatQuotient等）。

除了技術自己以外，這裏還有一些關於SOAPA的其餘想法：

一、除了安全工具之間的數據交換，下一個較大的創新未來自於由中央SOAPA指揮和控制的安全基礎設施的分析和管理（如配置管理，策略管理等）。

二、市場方面，市場已經在朝着SOAPA這邊偏移。IBM對Resilient System的收購，Splunk對Caspida的收購以及 Elastic Search對的收購就是對這個趨勢的最好見證。

三、衆所周知，McAfee已經從英特爾獨立出來，預計這家公司會投資其企業安全管理平臺，以壯大本身在這方面的優點。另外，McAfee也在加快步伐，將本身的工具和生態夥伴與SOAPA技術集成起來，以及進行一些相關的收購，以填補架構方面的欠缺。

四、從上文可知，SIEM仍然在SOAPA中處於核心地位，它的優點仍是比較明顯，鑑於此，一些企業（CA？Palo Alto? Symantec？ Trend Micro?）或許會對LogRhythm進行收購，以搶佔先機。

五、以上提到的各個技術要素均可以在內部或經過SaaS傳遞。所以SOAPA必須足夠靈活才能適應這些選項。

六、在搭建SOAPA時，規模要足夠大，特別是企業組織提升了雲計算和物聯網使用比例後，對規模這一需求就變得更爲急切。咱們也相信，雲分析和存儲在將來會成爲SOAPA的一部分。

七、就目前的形勢來看，一部分供應商可能提供本身專有的解決方案，但有些企業客戶應該就不會買帳了，他們有可能不採用單一供應商的解決方案，他們在搭建SOAPA方案的時候，會和那些比較一流的供應商和生態合做夥伴一塊兒合做。而實力不足的中小企業則能夠從單一解決方案供應商或者SaaS供應商處購買。

總結

咱們不能說SIEM就此要被取代，起碼它仍是在SOAPA中發揮應該有的做用。SOAPA的出現，只證實了這個行業已經向更好的方向發展了，也代表安全的協做是個大趨勢。SIEM將來還會向雲分析和存儲進軍，將會有更多的SIEM廠商加入SOAPA陣營。

來自FreeBuf.COM