重新定义：SIEM三个趋势与现代SOC四个要点

2023年6月5日至7日，Gartner安全与风险管理峰会在美国召开。作为Gartner最重要的网络安全盛会，本次会议有Gartner的71位分析师登上讲台、240家企业参展。Gartner SIEM和SOC领域的关键分析师悉数亮相，分享了他们对于未来SIEM和SOC发展的见解。

SIEM的生与死

SIEM能否满足当前快速变化的安全需求？SIEM是否已经不堪重负？面对新兴的技术和产品，SIEM是否会走向消亡？

在二十多年的发展进程中，SIEM产品曾多次遇到过类似的疑惑，但从来没有哪次像这两年一样面临如此巨大的挑战。在题为《安全运营展望2023》的演讲中，Gartner分析师Eric Ahlm将新技术和产品（尤其是XDR）对SIEM的挑战比作天地大碰撞。

SIEM会毁灭吗？还是在被撞击后重获新生？Eric Ahlm表示，“好消息是这不是一次SIEM灭绝事件，但是时候重新掂量SIEM在SOC中的价值了”。

Gartner VP分析师Pete Shoard在题为《SIEM的未来和TDIR的演进》的演讲中，展示了多个SIEM “被死亡”的节点。他坚定地认为，SIEM还会好好活着！

Gartner研究人员认为，SIEM作为一个细分市场、一个术语不会消亡，但SIEM的内涵和外延却已不再似以前，而这也恰恰体现了SIEM自身特有的与时俱进能力。

重新定义和定位SIEM

在大会上，Pete Shoard给出了SIEM的最新定义：SIEM平台提供了一个可配置的安全记录系统，帮助组织识别和报告需要调查的感兴趣事件。它也协助组织对可能导致损害的已发现事项进行验证与响应。

Pete Shoard表示会更新到今年的SIEM魔力象限报告中。作为对比， 2022年魔力象限报告中SIEM定义如下：SIEM将跨应用、网络、端点和云环境的各类监测、评估、检测及响应系统的事件数据聚合起来，以实现基于关联规则和UEBA的威胁检测，基于SOAR的响应集成，基于TIP的威胁内容持续更新和安全报表报告。

可以发现，之前的SIEM定义中对功能的描述较为具体，而新的定义则抓住调查、验证、响应三个关键能力进行简洁的概括，内涵较之前更为丰富。

进一步分析，多年以来SIEM定义的核心都是数据的采集与分析，即以数据为中心。从技术架构上来，数据驱动安全没毛病。但正如Gartner所说，当前的实际情况表明，在经历多年的大数据时代后，更多的数据并不意味着更多的安全价值，数据的边际效益正在递减。同时，市场上出现了越来越多的具备检测和响应能力的产品种类。也就是说，检测与响应能力越来越分散到不同的安全系统之中。因此，对用户而言，数据分散问题虽依然存在，但重要性正在下降，而安全系统（尤其是安全检测与响应系统）的分散问题越发凸显。这就需要SIEM平台在保持大数据分析架构的前提下大幅增加对异构安全系统的集成能力（Gartner称之为相容性——Compatibility），而这也正是安全网格架构（Cybersecurity Mesh Architecture）产生的原因。总之，当前SIEM的外延已经从数据集成扩展到了系统集成。

既然SIEM被重定义了，那么是否可以将新定义的SIEM命名为下一代SIEM（NG-SIEM）或者SIEMX.0呢？对此，Gartner的态度也是明确的。Pete Shoard表示，那些不能从历史中吸取教训的人才会去不断发明所谓的下一代SIEM。SIEM就是SIEM，它不会被取代，也不会变成NG-SIEM。SIEM定义的演进是SIEM内在的特征，SIEM从一开始就被定义为具有极强的扩展性，能够随安全格局的演变而演进。SIEM未来的定义还会继续变化。

在笔者看来，这种不断演进的SIEM定义正是SIEM的优势所在，因为SIEM代表了一种自顶向下的体系化安全运营建设需求。

为什么SIEM能在与XDR等一众聚焦检测与响应领域的产品细分市场的竞争中存活下来呢？这里撇去SIEM领域日渐式微的合规性功能【笔者注：事实上这类功能越来越向GRC合规管理中心转移】不谈，Gartner认为最关键之处还在于SIEM自身的开放性。从用户侧而言，发展到一定阶段必然需要一个统合全局网络安全监测与响应的，紧密结合用户自身业务实际的安全平台，而这个安全平台必然需要高度的开放性，包括可配置性和可定制性，而这正是SIEM所追求的。从这个意义上而言， XDR及其它专项DR类产品都是可以与SIEM协作的。

可以说，开放性体现了SIEM区隔于其它产品的独特性，也体现了SIEM的核心定位，即服务于有定制需求的客户。SIEM产品肯定不止服务于有定制需求的客户，根据Gartner 2022年的《SIEM关键能力》报告，SIEM用例还包括开箱即用SIEM和作为TDIR平台使用。对于SIEM而言，真正受到挤压的是开箱即用SIEM用例所涵盖的市场。

凡事皆有两面性。SIEM开放性的另一面正是其高度复杂性，以及由此带来的对SIEM落地实战能力的长期诟病。本质上，SIEM作为应对客户复杂安全需求（将不断变化的异构数据和系统集成起来实现全局的监测与响应）的一个产物，必定也是复杂的。但是从产品和解决方案的角度，我们可以将SIEM的复杂性进行转移，尽可能地从用户侧转移到厂商侧。注意，这里说的是转移，不是消除！这种转移可以表现为SIEM产品中内置丰富的安全内容（包括策略、规则、报表模板、算法模型等），可以表现为SIEM产品提供更流畅的交互式设计和分析师体验，可以表现为提供丰富的产品附加服务（Gartner称之为VDSW——供应商交付的产品打包服务），也可以表现为托管安全服务。这些都是降低用户落地SIEM复杂度的良好实践，本质上是由厂商更多地承担起SIEM的落地复杂性，通过厂商丰富的安全经验将这些复杂性工作打包成可传递的知识（包括易用的UI、丰富的安全内容、有经验的服务人员等），提供给客户。

SIEM的三个发展趋势

Pete Shoard在大会上向大家介绍了三个SIEM未来发展的趋势：

1）存储从联邦式向分布式转变；2）伴随着社区的繁荣，安全内容市场逐步壮大

3）出现新的、基于事态（Event-Based）的用例（使用场景）。

对于第一点，Gartner认为SIEM将从现在流行的联邦式大数据分析架构向更加完全的功能去中心化分布式架构方向发展。数据在哪里已不重要，功能的网格化才是重点，API是关键。

对于第二点，本质上就是知识分享从过去的厂商与用户之间的单向传递，变成厂商、用户、第三方之间的双向分享。这是一种知识变现，会带来新的业务模式和商业机会。

SOC建设的四个要点

安全运营需求、理念和技术的变化不仅带来了SIEM的变化，也促动了SOC的演进。随着云技术和远程办公的普及，Gartner将SOC看作是一组安全运营能力的集合，而不再是一个地点。很多人坐在墙上挂着超大屏幕的屋子里，盯着大大小小屏幕工作的场景正在成为过去。

在《你的SOC是不是现代SOC》的演讲中，Gartner分析师Eric Ahlm提出了建设现代化SOC的四个要点：采用混合运行模式、优化检测技术栈、聚焦日常自动化和施行基于度量的迭代演进。

1）采用混合运行模式

随着网络安全的挑战日益严峻，用户方在资源和能力方面面临的瓶颈越发明显，完全依靠自身的力量已经难以将SOC运行起来。Gartner展望2023，认为以后所有的SOC都将是混合型SOC，即或多或少都要依靠外部力量，借助各种安全服务，弥补自身在SOC规划、建设和运行时的人员岗位缺口和能力缺失。此外，对于那些坚持采用单纯依靠自身运行的SOC的用户，Gartner建议其运营团队人员应不少于12人，否则无法真正将SOC运行起来。

2）优化检测技术栈

如前所述，用户要重新审视SIEM在SOC中的价值，SIEM不能在SOC技术平台中包打天下。Gartner建议用户在构建SOC技术平台的时候，将SIEM技术栈进行拆解，用其它技术替换掉SIEM中过时或低效的部分，同时引进一些新的功能（尤指XDR和暴露面管理），并更好地与其它技术协同起来。而分析师Neil MacDonald在《新兴安全市场趋势和增长机会》主题报告中就直接建议厂商引入多遥测数据融合分析技术，淘汰或升级旧有的SIEM，加入主动安全监测，还建议安全托管服务商增加暴露面管理和事件响应服务。

3）聚焦日常自动化

Eric Ahlm表示，高大上的端到端的运营级流程自动化还太过遥远，当前用户更需要的是（较小粒度的）日常运行活动自动化。因为安全流程（Process）天生就是易变和动态的，存在很多分支情况，要完整进行描述十分困难，会耗费大量设计开发精力，而跨部门的流程更难。在当前管理和技术条件下，要实现全面流程级别的自动化代价太高。相反，对构成安全运行流程的安全活动（Activity）进行自动化则更切和实际且更高效。在流程层面，更适合通过人工和半自动化的方式将相关的活动串起来。对此，笔者完全赞同，笔者参与设计的SOAR系统正是秉持这个理念。

在实现流程和活动自动化方面，SOAR并非唯一选择，而是存在三种技术路线：从具备最高灵活度的SOAR平台，到SIEM和ITSM中嵌入的简化版自动化工具，再到XDR或其它DR类产品中预置的自动化功能。

对于用户而言，选择哪种技术路线的产品和系统取决于自身的实际需求和未来发展规划。

4）施行基于度量的迭代演进

Gartner反复强调，SOC建设是一个持续迭代的旅程，至少要在计划、排序、构建、运行、汇报、成熟6个阶段迭代三次。这个迭代旅程，是SOC能力不断增强，成熟度不断提升的过程。这个过程必须在量化的安全指标牵引下演进。

SOC的度量指标设计要跟当前的成熟度相适应。如上图所示，在进入“主动监测”阶段后就应该引入正式的指标体系去度量SOC有效性和价值。

此外，面向不同层级和职责的上级，汇报的指标应该具有针对性，切忌出现“鸡同鸭讲”。分析师Alex Michaels在《现代化高绩效SOC的演进和期待》主题报告中就列举了一个悲催的示例，如下图所示。

Gartner表示，对于单位高管级领导，要用他们听得懂的业务指标（而不是运营指标）和业务术语去汇报，对于CIO和更高级领导，要采用结果驱动的指标（Outcome-Driven Metric）设计方法论输出业务价值导向的指标。

结语

安全威胁形势越来越严峻，安全防御越来越强调实战化，强调结果导向，安全运营越来越重要。围绕网络威胁防御这个核心，SIEM的内涵和外延正在不断演进，而SOC的方法论也日渐成熟。包括SIEM和SOC在内的安全运营天然是一个复杂性问题，做好安全运营没有捷径，唯有持续迭代提升。这就好比唐僧师徒西天取经，孙悟空、筋斗云、金箍棒是取经路上拼杀的利器，但却无法让他们直接抵达西天。如果我们把XDR、ChatGPT、AI看作是安全运营的新利器，也依旧不能确保安全运营成功。