SOAPA来临，SIEM时代终结？

安全信息和事件管理（SIEM）产品及服务负责从大量企业安全控件、主机操做系统、企业应用和企业使用的其余软件中收集安全日志数据，并进行分析和报告。有些SIEM还能够试图阻止它们检测到正在进行的攻击，这可能帮助阻止破坏或者限制成功攻击可能形成的损坏。可是这段时间SIEM彷佛遇到了强有力的挑战，如今的市场在推一种名叫SOAPA的概念，有些人说它会取代SIEM，果然如此吗？

SIEM从2005年正式诞生到如今，也就10多年时间。这段时间内，SIEM经历了从周边安全事件关联工具到安全分析系统的演变，最后成为一枝独秀。其早期供应商eSecurity，GuardedNet，Intellitactics和NetForensics也早已随着时光流逝不复盛况。今时今日，SIEM市场被LogRhythm，McAfee，HP，IBM以及Splunk等一些寡头垄断。

SIEM供应商概貌

并且有些激进分子认为SIEM是一种过期的的技术。他们认为，日志管理和事件关联根本没法跟上网络安全的发展的步伐。所以，咱们须要新的技术来改变这种境况，好比人工智能、机器学习算法以及神经网络来对实时安全数据进行处理和分析。

还有一群“帮凶”也在无形之中给予他们支持，这群“帮凶”就是行业分析师，一些行业分析师唱衰SIEM，大肆宣扬“SIEM死亡论”。难道SIEM真的已死？其实也未必。企业的安全运行和分析需求迫切须要将之前的技术整合成一个新的东西。

SOAPA是什么？

因而乎，被ESG（Enterprise Strategy Group-企业战略集团）称做SOAPA（ a security operations and analytics platform architecture -安全运做和分析平台架构）的平台应运而生。这个平台包含类SIEM的功能，而且，SIEM自己的功能在其中仍然扮演着十分重要的角色，这些功能会将分析过的数据汇总到公共库中存储起来。与过去一枝独秀的地位不一样，如今的SIEM只是SOAPA平台中的某一个组成部分。这些技术设计须要以异步协做做为前提，这样才能让安全工程师迅速经过工具找到数据并根据须要采起行动。

SOAPA是一个动态的架构，这意味着随着时间的推移，新的数据源和控制平面还会递增。另外，SOAPA自己就是基于SIEM开发的，那么SOAPA是否自己就只是个新的营销噱头呢？实际上，除了有与SIEM相似的功能以外，SOAPA还有如下的几个功能模块：

端点检测/响应工具（EDR）

安全分析家常常想要经过监测和调查主机行为深挖安全警报，因此EDR（这个领域的主要玩家有Carbon Black，Countertack，CrowdStrike，Guidance Software等）成为了SOAPA的重要组成部分。咱们在先前的 Carbon Black分析文章中提过，EDR是一个类别工具和解决方案，专一于检测、调查和减轻在主机或端点的可疑活动。

事故响应平台（IRP）

咱们知道，网络专家的工做除了收集，处理和分析数据的安全性以外，还须要尽快给警报排定优先级以及处理这些警报。基于上述需求，Hexadite，Phantom，Resilient System（IBM），ServiceNow和Swimlane等IRP平台相继诞生。

网络安全分析

SIEM的日志分析和EDR主机行为监控都会由SOAPA中的流量和数据包分析来执行，这部分市场的主要玩家包括了Arbor Networks，Blue Coat/Symantec，思科（Lancope）和RSA。

UBA /机器学习算法

虽然UBA、机器学习等工具被业界过度炒做，但毫无疑问，机器学习在从此会大有做为，确定会用于安全分析，正由于如此有潜力，业界大佬，如Bay Dynamics，Caspeda (Splunk)， Exabeam，Niara，Sqrrl and Varonis等都应该出如今SOAPA阵营中。

漏洞扫描器和安全资产管理

了解哪些警报须要优先级处理，是安全运行的重要组成部分。若是要作出这个决策，咱们就不得不借助漏洞管理系统（如Qualys，Rapid7，Tanium）中的可靠数据和其余工具（这些工具监控系统状态和网络配置）来驱动，在这些数据和工具的帮助下，咱们才能够作出决策。

反恶意软件沙箱

咱们知道，有些针对性攻击可能会采用0day恶意软件来发动。有了这项技术后，咱们就能够很容易的对这类攻击进行更充分的理解了。FireEye，Fidelis和趋势科技的沙箱确定会成为SOAPA的一部分。

威胁情报

威胁情报也就是：“对敌方的情报，及其动机、企图和方法进行收集、分析和传播，帮助各个层面的安全和业务成员保护企业关键资产。” 

一般状况下，为了本身的企业安全，企业组织想要将内部网络异常与外部的恶意软件活动做对比，以收集情报，化解危险。正是由于企业有这个需求，SOAPA才延伸到威胁情报的来源和其余平台（如Brightpoint，FireEye/ iSight的合做伙伴，RecordedFuture，ThreatConnect，ThreatQuotient等）。

除了技术自己以外，这里还有一些关于SOAPA的其余想法：

一、除了安全工具之间的数据交换，下一个较大的创新未来自于由中央SOAPA指挥和控制的安全基础设施的分析和管理（如配置管理，策略管理等）。

二、市场方面，市场已经在朝着SOAPA这边偏移。IBM对Resilient System的收购，Splunk对Caspida的收购以及 Elastic Search对的收购就是对这个趋势的最好见证。

三、众所周知，McAfee已经从英特尔独立出来，预计这家公司会投资其企业安全管理平台，以壮大本身在这方面的优点。另外，McAfee也在加快步伐，将本身的工具和生态伙伴与SOAPA技术集成起来，以及进行一些相关的收购，以填补架构方面的欠缺。

四、从上文可知，SIEM仍然在SOAPA中处于核心地位，它的优点仍是比较明显，鉴于此，一些企业（CA？Palo Alto? Symantec？ Trend Micro?）或许会对LogRhythm进行收购，以抢占先机。

五、以上提到的各个技术要素均可以在内部或经过SaaS传递。所以SOAPA必须足够灵活才能适应这些选项。

六、在搭建SOAPA时，规模要足够大，特别是企业组织提升了云计算和物联网使用比例后，对规模这一需求就变得更为急切。咱们也相信，云分析和存储在将来会成为SOAPA的一部分。

七、就目前的形势来看，一部分供应商可能提供本身专有的解决方案，但有些企业客户应该就不会买帐了，他们有可能不采用单一供应商的解决方案，他们在搭建SOAPA方案的时候，会和那些比较一流的供应商和生态合做伙伴一块儿合做。而实力不足的中小企业则能够从单一解决方案供应商或者SaaS供应商处购买。

总结

咱们不能说SIEM就此要被取代，起码它仍是在SOAPA中发挥应该有的做用。SOAPA的出现，只证实了这个行业已经向更好的方向发展了，也代表安全的协做是个大趋势。SIEM将来还会向云分析和存储进军，将会有更多的SIEM厂商加入SOAPA阵营。

来自FreeBuf.COM