[讨论]说说SIEM与SOC

gibberish2

http://www.tektalk.org/2011/01/21/%E8%AF%B4%E8%AF%B4siem%E4%B8%8Esoc/

缘起：看到弯曲中有审计和SOC的文章，正好自己做了一段时间，有点心得，希翼得到诸位高手的指教。

当下国内的等级保护已在如火如荼的进行，据悉今年，C-SOX开始启动，安全审计也就水涨船高，因为国内有的厂商就是通过SOC产品满足其审计要求的。

说到SIEM就不能不提SOC，国内的SOC实际就是一个SIEM产品，而国外的SOC，除了产品还有人，流程等，因此可以基于SIEM产品去建立一个SOC。去年HP以15亿收购Arcsight后，有意思的是其股东抱怨价格过低。Arcsight是SIEM领域的Leader，事实上国内的大部分SOC产品都是模仿Arcsight（先代理后模仿），Arcsight是专注做SIEM的厂商，不象是Symantec，因为专注所以其产品的一个特点就是细节的地方到位，我很佩服那些开发者，App做的很精致，简洁易用功能强大，可以满足最大规模的企业应用，最著名的一个客户就是国防部。

SIEM系统分为三层：采集层、分析层、展现层，这三层中，采集层是最基础的，分析层是核心层，展现层我认为倒不那么重要，因为既然都有分析结果了，如何展现也就相对简单了。实际中发现即使Arcsight最领先的ESM仍然存在一些问题，并以此为例讨论一下：

标准化问题：采集层的标准化是个极为头疼的问题，尤其是Syslog。开发人员在对现有产品做标准化映射时，由于缺乏对产品的了解或者缺乏运维等经验，导致标准化后丢失某些关键信息，而很多SIEM产品除了字段不足外更是缺乏灵活的定制能力，要支撑一个新的产品和应用，将会很困难。更严重的是，由于缺乏足够的扩展能力，针对业务系统定制时，不得不丢弃大量的字段（虽然可以合并），例如要从数据库读取一个表，有80个字段，参与关联分析的字段会可能有40个，但由于无法扩展不得不丢弃或者合并；

关联分析：SIEM的真正价值不仅仅为了满足合规，而在于异构、多系统间的关联分析，但当前所有的产品均是着重对基础设施的关联分析，有些会有一些针对业务的解决防范，如银行卡等，但由于对业务层面了解不够，从而缺乏真正有效的针对业务层面的威胁分析，我想这是Arcsight的防欺诈解决方案在国内至今还没有成功案例的原因之一；

缺乏预警机制：由于SIEM是通过收集其他产品的日志进行分析，意味着最多只能做到事中监视，比如蠕虫爆发，而无法实现事前预警。Symantec SSIM唯一的优势就是可以借助其分布在全球的数万台安全探针所形成的一个僵尸网络库，SSIM系统可以和这个库进行关联分析，实现一定程度的预警；而Arcsight曾经帮助一个银行用户建立反钓鱼系统，但是由于缺乏这些数量庞大的安全探针，只能在客户的邮件网关上进行采集分析，因此我估计效果将会大受限制；

融合不够：为了采集日志，往往要在被采的对象上安装agent，但既然安装了agent，为什么不索性连网管的数据一起采集？在SIEM实现监视告警，和网管系统整合成为一个平台？可惜在其5.0的系统中，还未看到融合，相反国内的厂商开始融合，而这些厂家就是从网管起家的，吼吼；

缺乏策略配置管理：从长远看，SIEM作为安管系统也应该实现统一的策略配置管理，尽管这个难度比日志标准化更大，却是今后的一个挑战和方向，这是当前许多用户的需求，DSL有个TR069，但企业这块还缺乏一个统一的标准，各管各的一亩三分地；

后记： CISCO的MARS早就不玩了，RSA的eVsion停止不前，而据小道消息Symantec的SSIM已经不再开发支撑。Arcsight有了HP的渠道支撑，还将一支独秀，钱途光明。其基于BI的分析模块我将在一个卡系统中验证其功能，看到底能发挥多大功能，并希翼对这块有研究的高手多多指教。