实时检出率仅 19%，SIEM 还是网络威胁处理的“瑞士军刀”吗？

在很多企业中，SIEM（安全信息和事件管理）已经成为安全团队日常处理威胁事件的必备工具，但这项曾被视为网络安全“瑞士军刀”的技术如今却备受质疑。

近日，安全研究机构 CardinalOps 发布了第四版《SIEM 安全风险检测年度报告》，报告收集分析了来自 Splunk、Microsoft Sentinel、IBM QRadar 和 Sumo Logic 等行业主流厂商的 SIEM 系统真实应用数据，并使用 MITRE ATT&CK 技术对这些 SIEM 系统的实时威胁分析检测能力进行了测试。

实际测试结果显示，虽然这些 SIEM 系统能够提供组织日常安全运营所需的 87%数据信息，但在实时检测攻击威胁方面的表现却非常不容乐观。在本次所测试的各款 SIEM 系统中，最多仅能实时检测到最新 MITRE ATT&CK 框架涵盖的 201 种攻击技术中的 38 种，整体检出率占比为 19%。更令人担忧的是，由于 SIEM 系统配置的复杂性，18%的 SIEM 规则会因为错误配置的数据源和缺少字段等常见问题而变得形同虚设，这进一步限制了 SIEM 的威胁监测能力。

CardinalOps 首席技术官兼联合创始人 Yair Manor 表示：“今年的研究揭示了一个缺口，那就是企业组织仍然希望努力利用 SIEM 系统最大限度地建立和维持有效的威胁检测能力，而实际上 SIEM 系统却在发现攻击方面充满了困难和挑战，这可能让企业处于巨大的风险之中。”

难以检测新型高级攻击向量

SIEM 的构建初衷是检测“已知的恶意行为”，例如 MITRE ATT&CK 中定义的技术。虽然在 MITRE ATT&CK （v14）框架中列出了 201 种攻击技术，但试图通过配置 SIEM 来检测出所有这些威胁是不现实的。

网络犯罪分子也了解到 SIEM 的不足，迅速转向使用被盗凭据、特权升级、错误配置、网络钓鱼和薄弱的安全意识缺口作为他们的攻击媒介。在此情况下，SIEM 的威胁防护作用将大打折扣，因为 SIEM 从一开始就不是为处理这些问题而构建的。

SIEM 在设计时并没有考虑到这一点，现在行业中已经有更先进的方法来应对这些新威胁，包括安全态势管理、可扩展威胁检测和响应、攻击面管理以及跨身份基础设施构建更完整的可见性等，以更有效地发现风险，甚至潜在的未知安全问题。

应用成本居高不下

SIEM 的应用成本取决于组织的 IT 基础设施分布应用情况和实际安全运营需求。很多中小型企业的年度整体安全预算支出仅为 50-100 万美元左右，这将难以支撑 SIEM 系统的有效运营要求。在本次报告中，也特别分析了企业组织有效运营 SIEM 系统必须投入的人力、时间和金钱资源。

报告发现，主流 SIEM 厂商仍然将其产品定位在服务大公司、跨国机构和政府部门客户定制化使用的高级安全工具，通常在组织内部部署，系统运营工作需要组织自己的安全团队负责。

研究人员用《加州旅馆》（Hotel California）的歌词对 SIEM 的应用成本情况进行了描述，“你可以随时退房，但你永远无法离开。”报告称，约 40%的受访组织表示，考虑到 SIEM 系统运营的高技术保障要求，它们难以承担 SIEM 系统的运营费用。

报告认为，如果没有 7*24 的安全运营能力支持，组织将无法处理和应对 SIEM 应用中的复杂性，实际应用效果并会不好。而大型企业组织往往需要每年投入 100 万美元以上的运营维护费用，才能持续对 SEIM 能力进行优化，并获得有效的使用效果。

报告还认为，很多组织在实际使用 SIEM 系统时，要么部署不当，要么缺乏及时更新的管理资源。此外，SIEM 通常不能很好地集成到组织现有的网络安全体系中，从而导致其应用性能难以充分发挥。

缺乏对云的可见性

Exabeam 和 IDC 在今年 1 月联合发布的一份报告中指出，全球的企业组织目前仅能可视化或监控其 66%的 IT 应用环境。Exabeam 首席执行官 Adam Geller 表示，目前 SIEM 工具所能提供的数据覆盖度，和针对 MITRE ATT&CK 框架下攻击技术的检测要求之间是“矛盾的”。为了更有效地检测、调查和应对当今的主要威胁，SIEM 系统必须拥有对云原生基础设施及其中应用的数据采集和监控能力。

Geller 认为，SEIM 的实际威胁检出率低并不是说 SIEM 技术正在被淘汰，而是许多传统 SIEM 系统的应用模式仍然是本地化运行，这种方式不能提供一个全面的视图来理解数据，或充分保护组织。

缺乏对云的可见性意味着安全团队对这些环境中的任何应用发展都视而不见，从而导致 SIEM 的威胁监测效率低下。

噪音干扰仍然严重

噪音问题一直是 SIEM 应用的主要挑战之一。今年的报告研究再次表明，企业安全团队需要花费约 25%到 70%的工作时间来处理 SIEM 系统的误报和噪音烦扰，它不仅会消耗企业有限的安全资源，还会导致精力耗尽和警觉性疲劳。

《Sophos2023 年网络安全状况报告》也发现，超过 90%的组织认为威胁搜寻是一项挑战。绝大多数（71%）的组织在试图理解需要调查哪些信号或警报时存在重大问题。同样比例的受访者表示，他们在优先考虑调查方面遇到了挑战。

人手不足的安全团队和高水平的背景噪音使基本的 SIEM 应用成为一场噩梦，大公司每天都会收到数千条警报。

身份和访问安全公司 BeyondTrust 的首席安全策略师 Chris Hills 表示，SIEM 应用中一直无法有效解决的难题就是如何应对噪音。Hills 表示，“与 EDR 解决方案类似，SIEM 在噪声方面没有什么不同，我所说的噪声是指误报的数据量和警报。当分析师试图确定真正的风险时，这就形成了‘大海捞针’的效果。”

结语

每一个闪亮的安全工具都会经历一个生命周期，从解决组织关注的问题到被更好的营销新产品所淘汰。从这一点上看，报告认为 SIEM 已经处于其生命周期的后半段，主要原因包括：

• SIEM 是资源密集型的，组织必须配置正确的日志源，编写正确的规则，并对数据进行后处理（post-processing），从它触发的警报中收集任何有用的东西，然后采取行动响应触发的警报。

• 就有用性而言，SIEM 系统往往会成为一种数字化的障碍而不是帮助，有时它们只是合规性方面的一个复选框，除了作为构建其他层以确保环境安全的基础之外，实际上没有做更多有用的事情。

在此背景下，传统的 SIEM 应用模式走向失败并不令人震惊。作为一种独立应用的工具，SIEM 或许很快就会消失在现代网络安全技术创新和发展的复杂趋势中。但是 SIEM 技术仍会以新的方式获得应用的动力，例如作为一种安全能力融入到 SASE 服务、SOAR、MDR、XDR、暗网监控和其他新技术应用中。

原文链接：https://www.techopedia.com/do-siems-the-swiss-knife-of-cybersecurity-do-the-job