ISACA發佈SIEM研究報告

2010年12月8日，ISACA（國際信息系統審計協會）對外正式發佈了一份有關SIEM技術的研究報告——《 Security Information and Event Management (SIEM): Business Benefits and Security, Governance and Assurance Perspectives》。該報告從商業價值、IT治理及IT保證等角度分析了SIEM技術。
這個白皮書最大的特色在於爲企業和組織用戶詳細介紹了一套方法論，知道他們理解什麼是SIEM，SIEM有何價值，應該如何導入一個SIEM項目？在進行 項目策劃（規劃）的時候，應該遵循什麼樣的方法和步驟，要考慮到哪些SIEM項目的陷阱？對於用戶比較有指導意義。對於從事SIEM諮詢、實施的人員也有 很大的參考價值。

針對安全人員不得不從海量事件中尋找有價值的信息的困境，ISACA認爲SIEM技術主要用於幫助企業和組織回答兩個問題：
1）在天天收到的海量事件中，那些告警和安全事件日誌纔是我須要關注的？
2）如何纔可以從IT架構中不斷增加的海量設備日誌中提取出有意義的和指導性的信息？
     
該白皮書首先引用Gartner的分析報告對SIEM進行了一個定義，並經典性地將SIEM分爲了SIM和SEM兩個部分。這兩個子集的定義與Gartner的定義基本一致，我再也不贅述。爲了方便你們引用定義，這裏不進行翻譯：
SEM was a technology solution that focused on real-time or near-real-time monitoring, correlation and processing of security events. These events were typically alerts generated by a network security device, such as a firewall or intrusion detection system (IDS), because the device had detected potentially malicious network or host activity that matched a preconfigured pattern.
SIM focused on the historical analysis of log file information to support forensic investigations and reporting. SIM often looked at the same events as SEM, but not in real time. Central to the SIM solution was event and log storage and archival, searching and analysis functions, and robust reporting capabilities.
另外，ISACA指出，SIEM技術的事件源已經不只侷限於上述設備，而且已經擴展到更普遍的企業系統範圍之中。

ISACA認爲SIEM技術應該包括如下幾個具體的功能：
1）數據收集（Data Collection）。包括收集的設備及系統對象，以及收集的協議類型；
2）數據聚合（Data Aggregation）。主要是指如何將分散的事件收集到一塊兒的過程。
3）數據歸一化（Data Normalization）。也有叫數據範式化。特別地，處於合規的考量，數據在歸一化的時候都應該保留原始日誌以備合規調查取證之需（ISACA比較看重於此）。
4）事件關聯（Event Correlation）。經過基於規則的事件關聯分析引擎將特定時間窗口中符合某種規則的多個事件聯繫起來，識別出異常行爲。須要注意的是，關聯規則數量和複雜度會對分析性能產生負面影響，所以並非說規則數量越多越好，關鍵是要適合須要。
5）告警（Alert）。
6）報告（Reporting）。ISACA將其看做是SIEM的核心功能，由於處於合規的須要，管理員使用SIEM大部分的時間都會集中在看報告上。 【須要指出的是，報告不等於報表！亦非多份報表的組合。對此，國人多有誤解。若是必定要對應起來，Reporting應該包括統計分析、報表、報告。】
7）取證分析（Forensics）。主要是指高效的數據搜索，經過取證來發現異常和違規。數據歸一化和關聯分析能夠看做是取證分析的組成部分。一樣，能夠高度定製化的搜索條件以及Drill-Down（下鑽）功能對於審計師而言十分有必要。
8）中央管理控制檯（Central Manangement Console）。全部功能的入口。

在定義完SIEM並分析了其組成功能後，ISACA重點從商業利益、IT治理和等角度分析了SIEM的意義和做用。
（一）SIEM的商業利益（業務價值）包括：
1）安全技術投資的價值增值，即充分發揮已有安全系統的價值。
2）全面高效的報告。
3）下降投資和運維成本。尤爲是能夠將其與LM、DAM等技術整合起來。
4）下降違規的風險。尤爲是在外審的時候，至少能夠起到盡職的做用。
5）得到對信息安全更爲普遍的組織支持。安全事關企業和組織的各類人員，但每每難以讓你們有效協同起來。而一個好的SIEM系統則能夠起到這個做用，有助於打破部門之間的壁壘，創建起對組織總體安全及風險管理的一致認識和行動。
6）實現對安全突發事件的早期檢測。

（二）實現SIEM系統過程當中存在的風險，包括：
1）SIEM的產品/平臺/開發模型與實際的日誌量不匹配，致使系統性能低下；
2）低效或不完善的應急事件響應流程，致使錯過對重要事件進行處理，或者處理不當；
3）缺少對SIEM系統的持續調優和配置的計劃或者流程，致使錯報，事件解析錯誤，或者事件丟失，以及採集不到關鍵系統的事件，系統性能降低；
4）SIEM系統不支持企業或者組織中的關鍵系統，例如沒法收集信息或者會破壞這些關鍵系統的安全性、完整性；
5）在使用和管理SIEM系統方面資源不足。系統用不起來，做用就難以發揮。而SIEM系統對於使用者的要求比較高；
6）SIEM系統部署的時候須要部署大量的代理，這不是一個好主意；
7）各個系統平臺之間沒有作好時間同步，如此一來事件無從關聯；
8）缺乏分析事件所需的具體系統相關的專家。也就是說，事件分析不是安全人員單方面的工做，還須要所涉及的具體相關係統的專家的支持。例如安全人員發現了 一個針對某系統數據的異常訪問，這須要那個系統的DBA去深刻調查這個訪問，包括是不是異常，影響有多大，等等。這須要一個跨部門的事件響應與處理機制。

（三）SIEM在IT治理和變動管理方面的考量
SIEM的使用對於GRC能夠產生積極的影響。一樣，基於IT治理的思想來考察一個SIEM項目的時候，仔細的規劃和溝通對於確保SIEM解決方案符合企 業或組織中的利益相關方的預期、支撐業務目標、以及增長企業價值都相當重要。計劃與溝通對於告知企業和組織相關人員在引入SIEM後所帶來的流程變動的時 候一樣十分關鍵。隨着SIEM實施的逐步展開，能夠參照如下幾條指引，將有助於企業或組織在採購、集成和部署SIEM系統的過程當中創建起對於可能帶來的變 更和影響的合理預期。
1）確保SIEM項目的全部利益相關方都創建起了各自對於SIEM方案的合理預期和明確目標。正如我以前所說，指望越大，失望越大。
2）定義範圍。所謂「Don't boil the ocean」。 最好的方式是事先創建一套使用SIEM的用例，並與相關部門的人進行研討、修訂，並最終確認下來。這些相關部門的人，也即利益相關方，可能涉及內審、合 規、風控部門，或者IT安全、IT運維、IT架構部門、法律顧問，關鍵的業務領導，等等。此外，在創建用例的時候，能夠根據這些用例列出一張本企業或組織 須要採集的設備事件源，以及事件類型等信息。這將有助於後續採購SIEM產品所用。此外，用例的創建也有助於後期創建合理的工做流程，並將適當的人員歸入 其中。
3）事先考慮到SIEM系統致使的變化及法律後果。好的SIEM系統會帶來合規管理、安全事件管理的效率提高，下降工做負擔，可是，一樣可能帶來新的工 做，例如可能會新增一些工做職責，工做流程，並可能對現有業務體系形成影響。其實這也徹底正常。畢竟，有了SIEM後，工做效率提高了，之前沒有精力關注 的事情天然要考慮進來。這就像常常有人說「沒上管理系統以前，沒以爲工做有啥，上了之後，怎麼工做忽然多了起來?"同樣。在沒有上SIEM的時候，管理人 員能夠說事件太多，處理不過來，同時致使不少後續的工做也就擱置起來。可是上了SIEM之後，後續工做也就提上了日程，沒有藉口迴避了。ISACA的這個 白皮書也列舉了一些相似的例子。總之，要考慮清楚上了SIEM以後相關人員的工做流程的變化，並將這些變化告知相關部門、相關人，從新梳理崗位職責。別等 到真正用起來的時候才考慮，就晚矣。

從IT治理的角度來講，企業和用戶上SIEM不只是一個技術問題，同時也是一個管理問題，須要認真作好各方面的規劃。不然，難保成功。

（四）SIEM在IT保證方面的考量
從IT保證的角度來講，對於從事企業IT保證的團隊和專家而言，對於SIEM系統能夠從如下四個方面加以關注：
1）策略和治理。事實上，若是企業或組織事先沒有真正創建起安全治理的策略、方針和程序，上SIEM更多則是基於一些零散的現實的需求或者是拍腦殼的決定。可實際上，大部分項目未嘗不是如此？不過，從理論上來講，策略方針老是第一位的。一個建議：能夠經過前期的安全諮詢項目再導入SIEM項目。
2）人：這裏比較強調的人是指SIEM項目組的人。企業或者組織在上SIEM的時候，應該創建一個SIEM項目組，這個項目組人員應該可以表明各個部門的利益，制定出可行的SIEM目標、策略和計劃。SIEM運維人員的技能和培訓也是考慮到的。
3）流程：SIEM系統要收集來自各個地方的信息，分析並告警，交由相關人員進行處理反饋，SIEM系統自身還有一個維護的工做，這些都須要有比較清晰的流程。例如事件採集，例如事件響應處理。
4）技術：這裏最關鍵的就是要考慮到SIEM系統與當前整個企業或組織的IT架構和安全技術要求的一致性、契合度。例如，是否可以與現有IT架構進行整合？如何整合？多大修改的工做量和影響性？是否符合本企業或組織的災備策略？數據安全策略？等等。

總之，上一個SIEM系統，理論上能夠提高企業和組織的安全與合規能力。可是上SIEM的過程頗有講究，須要合理的規劃、建設、維護，須要清楚的瞭解企業自身的現狀、制定合理的目標和預期，界定清晰的範圍，達成系統全部參與方的一致，在人、流程和技術等各個方面未雨綢繆。