2014年8月21日,Gartner发布了一份新的SIEM报告:Overcoming Common Causes for SIEM Deployment Failures。作者是一位刚从HP跳到Gartner的新人Oliver,目前跟Mark Nicolett在一个team。
报告提出了当前SIEM部署失败的6个常见原因:计划不周、范围不清、期望过高、噪声过大、情境不够、资源不足。 原文是:Failure to Plan Before Buying,Failure to Define Scope,Overly Optimistic Scoping,Monitoring Noise,Lack of Sufficient Context,Insufficient Resources。
Oliver表示,尽管SIEM技术在近几年已经大有改观,但当前在Gartner调研过的客户中,依然有20%~30%失败的案例,有的没有达到预期的目标,有的甚至束之高阁。
当然,Oliver在报告中不是贬低SIEM,而是总结了SIEM失败的原因,并认为很多失败其实都是可以避免的。
Oliver提出了解决之道(最佳实践):一套程式化的SIEM规划、选型、采购、部署、实施流程。其实,这套最佳实践也不是什么新理论,一直我也都在宣传。
我的观点:在购买之前,很重要的一点就是客户自身要搞清楚自己想要什么?不是简单的愿望(Vision)和一些虚泛的需要(need),而应该先成立一个项目组,能够involve项目的关键资源和人。然后这个项目组要制定一份较为清晰的项目需求(requirement),包括确定管理的对象(业务、资产、关键设备)——界定范围,设计要实现的典型场景(scenairo)——还是界定范围,找到当前最需要解决也最有可能解决的问题点——依然是界定范围。有了较清晰的需求,就可以进行选型和采购。购买符合需求的产品比购买一个技术先进的产品往往更难。技术先进与否往往容易比较,无论是横向对比,还是产品测试。但评估是否满足自身需求却不易,因为很可能你自己都不知道你自己需要什么?这也凸显了自身需求分析的重要性。在实施阶段,一直要保持一个谨慎的心态,对管理层也要传达一个审慎乐观的信息。一个基本的方法就是根据规划阶段既定的方针路线,逐个落实使用场景和用例。Oliver说在实施的头半年实现5到7个用例就不错了。我认为能实现3个在国内都很棒了。当然,这又回到的项目立项之时,从管理层到执行层是否已经建立好了对SIEM/安管平台项目的正确认知和合理预期。在维护阶段,人是关键因素,我已经说过N遍了,无论如何,好的,一定数量的安全分析师是必不可少的。
看完之后,是否觉得害怕SOC/SIEM?倒也不必,在国内,我一直倡导的最佳实践总结一下就是:
规划阶段——整体规划、分布实施、逐步落实;
建设阶段——技术与服务并重,建设与运维并举;
使用阶段——充分借助外脑,利用代维服务。
Oliver最后说道:不是所有组织都适合上SIEM,这与该组织整体的安全建设成熟度有关。我觉得,这里的成熟度不仅包括物质上的,技术上的,也包括意识上的、机制上的。
原文地址:http://yepeng.blog.51cto.com/3101105/1546769