然而,多年來(lái),SIEM幾乎沒(méi)有超出提供更好、更易搜索的基于規(guī)則的日志引擎的能力。而人工智能(AI)和機(jī)器學(xué)習(xí)(ML)技術(shù)與網(wǎng)絡(luò)安全工具的結(jié)合則預(yù)示著美好的未來(lái)。
調(diào)研機(jī)構(gòu)Gartner公司在2016年創(chuàng)造了另一個(gè)新術(shù)語(yǔ),也就是“用于IT運(yùn)營(yíng)的人工智能”(AIOps)。人工智能和基于機(jī)器學(xué)習(xí)的算法與預(yù)測(cè)分析相結(jié)合,正在迅速成為SIEM平臺(tái)的核心部分。這些平臺(tái)提供對(duì)給定IT環(huán)境中觀察到的所有活動(dòng)的自動(dòng)化、持續(xù)分析和關(guān)聯(lián)。這種集成為SIEM提供了深度學(xué)習(xí)功能和無(wú)數(shù)集成工具,以推動(dòng)更明智的結(jié)果。
以下是這種集成SIEM的好處:
防止隱形攻擊
典型的SIEM分析將在相對(duì)較短的時(shí)間內(nèi)(通常是數(shù)小時(shí)和數(shù)天)收集的來(lái)自不同來(lái)源的事件相關(guān)聯(lián)。這與基礎(chǔ)設(shè)施的基線相比,如果超過(guò)預(yù)設(shè)閾值,將會(huì)輸出優(yōu)先警報(bào)。AIOps表示將長(zhǎng)期(可能長(zhǎng)達(dá)數(shù)年)收集到的事件信息存儲(chǔ)在數(shù)據(jù)庫(kù)中,然后對(duì)該數(shù)據(jù)應(yīng)用于分析系統(tǒng)。
這種分析使AIOps能夠隨著時(shí)間的推移來(lái)調(diào)整基礎(chǔ)設(shè)施基線和警報(bào)閾值,并根據(jù)相關(guān)事件自動(dòng)采取一些補(bǔ)救措施。此外,使用大數(shù)據(jù)使SIEM能夠檢測(cè)到網(wǎng)絡(luò)上非常緩慢或隱蔽的活動(dòng),否則SIEM可能會(huì)錯(cuò)過(guò)或忽略這些攻擊。通過(guò)檢測(cè)這些緩慢或隱蔽的攻擊活動(dòng),安全團(tuán)隊(duì)可以防止重大安全事件。
威脅檢測(cè)
除了提供標(biāo)準(zhǔn)日志數(shù)據(jù)之外,人工智能和機(jī)器學(xué)習(xí)技術(shù)還可以整合威脅情報(bào)源。某些產(chǎn)品還具有高級(jí)安全分析功能,可以查看用戶和網(wǎng)絡(luò)行為。機(jī)器學(xué)習(xí)使企業(yè)的SIEM能夠促進(jìn)跨大型數(shù)據(jù)集的威脅檢測(cè),從而減輕安全團(tuán)隊(duì)的一些威脅搜尋責(zé)任。威脅情報(bào)可以深入了解全球互聯(lián)網(wǎng)上各個(gè)IP地址、網(wǎng)站、域和其他實(shí)體的可能意圖,這使他們能夠區(qū)分正?;顒?dòng)和惡意活動(dòng)。
為企業(yè)的SIEM提供對(duì)一個(gè)或多個(gè)威脅情報(bào)源的持續(xù)訪問(wèn),使機(jī)器學(xué)習(xí)技術(shù)能夠使用威脅情報(bào)提供的場(chǎng)景。隨著了解的更多信息,它開(kāi)始理解超出其初始數(shù)據(jù)輸入的惡意行為警告。因此,它可以阻止企業(yè)的網(wǎng)絡(luò)安全從未遇到的威脅。它改進(jìn)了SIEM的決策,尤其是在準(zhǔn)確性方面,從而有助于深化企業(yè)的安全層。
不過(guò)在此提出一個(gè)警告:機(jī)器學(xué)習(xí)應(yīng)用在較大的數(shù)據(jù)集上比應(yīng)用在較小的數(shù)據(jù)集上更有效,但由于大數(shù)據(jù)可能有損耗,它可能會(huì)使合規(guī)性報(bào)告復(fù)雜化。但由于這是一個(gè)已知問(wèn)題,因此有多種解決方法可供選擇。
消除數(shù)據(jù)中的噪聲
典型的SIEM提供了大量的監(jiān)控?cái)?shù)據(jù)/日志,但SIEM報(bào)告數(shù)據(jù)不具有可操作性、難以理解且包含太多噪聲。集成人工智能的SIEM解決方案可以高效地管理大數(shù)據(jù),并可以使用自動(dòng)化工作流替換重復(fù)性而冗余的任務(wù)。
盡管大多數(shù)人工智能程序有助于數(shù)據(jù)分類,但人工智能元素?zé)o法對(duì)無(wú)法識(shí)別的數(shù)據(jù)點(diǎn)和事件信息進(jìn)行分組。另一方面,機(jī)器學(xué)習(xí)可以利用數(shù)據(jù)聚類功能來(lái)識(shí)別這些未知值,并根據(jù)檢測(cè)到的相似性將它們分組。
隨著企業(yè)規(guī)模的擴(kuò)大消除盲點(diǎn)
隨著企業(yè)規(guī)模的擴(kuò)大,安全系統(tǒng)變得更容易出現(xiàn)盲點(diǎn)。每個(gè)盲點(diǎn)可能會(huì)持續(xù)數(shù)月甚至數(shù)年都沒(méi)有受到監(jiān)控。因此,網(wǎng)絡(luò)的這些部分可能會(huì)長(zhǎng)時(shí)間未打補(bǔ)丁。這些盲點(diǎn)進(jìn)一步成為黑客進(jìn)行威脅的滲透場(chǎng)所。
幸運(yùn)的是,SIEM中的人工智能可以幫助提高網(wǎng)絡(luò)的可見(jiàn)性,從而快速、定期地發(fā)現(xiàn)網(wǎng)絡(luò)中的盲點(diǎn)。它還可以從這些最近發(fā)現(xiàn)的盲點(diǎn)中提取安全日志,從而擴(kuò)大SIEM解決方案的范圍。
提高IT安全團(tuán)隊(duì)的響應(yīng)能力
任何企業(yè)的安全運(yùn)營(yíng)中心(SOC)團(tuán)隊(duì)都是有限的,任何SIEM產(chǎn)生的日志數(shù)據(jù)量都相當(dāng)可觀。這使得以響應(yīng)迅速且有效的方式處理事件的挑戰(zhàn)極其艱巨。更重要的是,很多SIEM工具還提供了很多不相關(guān)的數(shù)據(jù),導(dǎo)致安全運(yùn)營(yíng)中心(SOC)團(tuán)隊(duì)面臨警報(bào)疲勞。
當(dāng)處理太多警報(bào)并且不知道應(yīng)該注意和忽略哪些警報(bào)時(shí),就會(huì)發(fā)生這種情況。機(jī)器學(xué)習(xí)提供的自動(dòng)化和標(biāo)準(zhǔn)化的工作流程可以減少人為錯(cuò)誤的可能性,并更快地完成工作。
SIEM還需要企業(yè)的IT安全團(tuán)隊(duì)持續(xù)監(jiān)控。人工監(jiān)控每個(gè)系統(tǒng)檢查點(diǎn)不僅會(huì)讓工作人員筋疲力盡,還會(huì)導(dǎo)致工作倦怠。支持機(jī)器學(xué)習(xí)功能的SIEM可以提供:
•自我學(xué)習(xí)以自動(dòng)化重復(fù)的非結(jié)構(gòu)化流程
•自動(dòng)化系統(tǒng)警報(bào)的能力
•數(shù)據(jù)可視化儀表板
•實(shí)時(shí)分析
•頂級(jí)企業(yè)安全
•跨部門共享
不幸的是,由簡(jiǎn)單的機(jī)器學(xué)習(xí)功能支持的SIEM無(wú)法與人類的創(chuàng)造力和網(wǎng)絡(luò)攻擊者的集體協(xié)作相匹敵。因此,企業(yè)的安全團(tuán)隊(duì)需要帶頭進(jìn)行威脅追蹤和事件響應(yīng)。
但是,正確實(shí)施的人工智能增強(qiáng)SIEM可以通過(guò)其預(yù)測(cè)和自動(dòng)化功能優(yōu)化這些流程。此類SIEM可為企業(yè)的IT安全團(tuán)隊(duì)提供以下功能 :
•通過(guò)企業(yè)的安全關(guān)聯(lián)規(guī)則,可以執(zhí)行自動(dòng)威脅搜尋。
•SIEM中的人工智能元素可以通過(guò)對(duì)所有警報(bào)自動(dòng)應(yīng)用情境化來(lái)識(shí)別誤報(bào)。
•人工智能增強(qiáng)的SIEM可以加快安全工作人員有限的企業(yè)的檢測(cè)和響應(yīng)時(shí)間。
從本質(zhì)上講,企業(yè)不僅可以將這項(xiàng)技術(shù)視為第二雙眼睛,還可以將其視為第二雙手。但是需要記住的是,人類智慧將永遠(yuǎn)勝于人工智能。
預(yù)測(cè)模式
機(jī)器學(xué)習(xí)算法增強(qiáng)了SIEM系統(tǒng),使它們能夠使用以前的模式來(lái)預(yù)測(cè)未來(lái)的數(shù)據(jù)。 例如,考慮在安全漏洞期間提供的數(shù)據(jù)模式。機(jī)器學(xué)習(xí)功能使系統(tǒng)能夠內(nèi)化這些模式,然后使用它們來(lái)檢測(cè)可能顯示后續(xù)違規(guī)或滲透的可疑活動(dòng)。
人工智能增強(qiáng)的SIEM可以阻止可能是惡意的進(jìn)程。這不僅有助于調(diào)查和威脅補(bǔ)救,而且甚至在事件響應(yīng)開(kāi)始之前就可以減輕損害。
對(duì)于規(guī)模相對(duì)較小的企業(yè)或那些擁有簡(jiǎn)單IT基礎(chǔ)設(shè)施的企業(yè)來(lái)說(shuō),啟用人工智能的SIEM的成本可能會(huì)令人望而卻步,同時(shí)在與良好的安全措施相結(jié)合的情況下幾乎沒(méi)有優(yōu)勢(shì)。大型且復(fù)雜的IT基礎(chǔ)設(shè)施可能證明企業(yè)使用支持人工智能的SIEM的成本是合理的。但是,始終建議對(duì)產(chǎn)品進(jìn)行詳細(xì)評(píng)估。
Gartner公司預(yù)測(cè),到2023年,全球約有1755億美元將用于信息安全和風(fēng)險(xiǎn)管理。而到2023年,數(shù)據(jù)安全、云安全和基礎(chǔ)設(shè)施保護(hù)是安全支出增長(zhǎng)最快的領(lǐng)域。根據(jù)Zion Market Research公司的調(diào)查,全球基于人工智能的網(wǎng)絡(luò)安全系統(tǒng)和服務(wù)2018年的支出高達(dá)71億美元,預(yù)計(jì)到2025年將達(dá)到309億美元。
隨著在日益數(shù)字化的市場(chǎng)中生成越來(lái)越多的數(shù)據(jù),企業(yè)關(guān)鍵信息的安全性至關(guān)重要。隨著網(wǎng)絡(luò)攻擊的復(fù)雜程度和頻率不斷提高,支持威脅情報(bào)的網(wǎng)絡(luò)安全工具將成為企業(yè)最寶貴的資產(chǎn)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)