ISACA发布SIEM研究报告

2010年12月8日，ISACA（国际信息系统审计协会）对外正式发布了一份有关SIEM技术的研究报告——《 Security Information and Event Management (SIEM): Business Benefits and Security, Governance and Assurance Perspectives》。该报告从商业价值、IT治理及IT保证等角度分析了SIEM技术。
这个白皮书最大的特色在于为企业和组织用户详细介绍了一套方法论，知道他们理解什么是SIEM，SIEM有何价值，应该如何导入一个SIEM项目？在进行 项目策划（规划）的时候，应该遵循什么样的方法和步骤，要考虑到哪些SIEM项目的陷阱？对于用户比较有指导意义。对于从事SIEM咨询、实施的人员也有 很大的参考价值。

针对安全人员不得不从海量事件中寻找有价值的信息的困境，ISACA认为SIEM技术主要用于帮助企业和组织回答两个问题：
1）在天天收到的海量事件中，那些告警和安全事件日志才是我须要关注的？
2）如何才可以从IT架构中不断增加的海量设备日志中提取出有意义的和指导性的信息？
     
该白皮书首先引用Gartner的分析报告对SIEM进行了一个定义，并经典性地将SIEM分为了SIM和SEM两个部分。这两个子集的定义与Gartner的定义基本一致，我再也不赘述。为了方便你们引用定义，这里不进行翻译：
SEM was a technology solution that focused on real-time or near-real-time monitoring, correlation and processing of security events. These events were typically alerts generated by a network security device, such as a firewall or intrusion detection system (IDS), because the device had detected potentially malicious network or host activity that matched a preconfigured pattern.
SIM focused on the historical analysis of log file information to support forensic investigations and reporting. SIM often looked at the same events as SEM, but not in real time. Central to the SIM solution was event and log storage and archival, searching and analysis functions, and robust reporting capabilities.
另外，ISACA指出，SIEM技术的事件源已经不只局限于上述设备，而且已经扩展到更普遍的企业系统范围之中。

ISACA认为SIEM技术应该包括如下几个具体的功能：
1）数据收集（Data Collection）。包括收集的设备及系统对象，以及收集的协议类型；
2）数据聚合（Data Aggregation）。主要是指如何将分散的事件收集到一块儿的过程。
3）数据归一化（Data Normalization）。也有叫数据范式化。特别地，处于合规的考量，数据在归一化的时候都应该保留原始日志以备合规调查取证之需（ISACA比较看重于此）。
4）事件关联（Event Correlation）。经过基于规则的事件关联分析引擎将特定时间窗口中符合某种规则的多个事件联系起来，识别出异常行为。须要注意的是，关联规则数量和复杂度会对分析性能产生负面影响，所以并非说规则数量越多越好，关键是要适合须要。
5）告警（Alert）。
6）报告（Reporting）。ISACA将其看做是SIEM的核心功能，由于处于合规的须要，管理员使用SIEM大部分的时间都会集中在看报告上。 【须要指出的是，报告不等于报表！亦非多份报表的组合。对此，国人多有误解。若是必定要对应起来，Reporting应该包括统计分析、报表、报告。】
7）取证分析（Forensics）。主要是指高效的数据搜索，经过取证来发现异常和违规。数据归一化和关联分析能够看做是取证分析的组成部分。一样，能够高度定制化的搜索条件以及Drill-Down（下钻）功能对于审计师而言十分有必要。
8）中央管理控制台（Central Manangement Console）。全部功能的入口。

在定义完SIEM并分析了其组成功能后，ISACA重点从商业利益、IT治理和等角度分析了SIEM的意义和做用。
（一）SIEM的商业利益（业务价值）包括：
1）安全技术投资的价值增值，即充分发挥已有安全系统的价值。
2）全面高效的报告。
3）下降投资和运维成本。尤为是能够将其与LM、DAM等技术整合起来。
4）下降违规的风险。尤为是在外审的时候，至少能够起到尽职的做用。
5）得到对信息安全更为普遍的组织支持。安全事关企业和组织的各类人员，但每每难以让你们有效协同起来。而一个好的SIEM系统则能够起到这个做用，有助于打破部门之间的壁垒，创建起对组织总体安全及风险管理的一致认识和行动。
6）实现对安全突发事件的早期检测。

（二）实现SIEM系统过程当中存在的风险，包括：
1）SIEM的产品/平台/开发模型与实际的日志量不匹配，致使系统性能低下；
2）低效或不完善的应急事件响应流程，致使错过对重要事件进行处理，或者处理不当；
3）缺少对SIEM系统的持续调优和配置的计划或者流程，致使错报，事件解析错误，或者事件丢失，以及采集不到关键系统的事件，系统性能降低；
4）SIEM系统不支持企业或者组织中的关键系统，例如没法收集信息或者会破坏这些关键系统的安全性、完整性；
5）在使用和管理SIEM系统方面资源不足。系统用不起来，做用就难以发挥。而SIEM系统对于使用者的要求比较高；
6）SIEM系统部署的时候须要部署大量的代理，这不是一个好主意；
7）各个系统平台之间没有作好时间同步，如此一来事件无从关联；
8）缺乏分析事件所需的具体系统相关的专家。也就是说，事件分析不是安全人员单方面的工做，还须要所涉及的具体相关系统的专家的支持。例如安全人员发现了 一个针对某系统数据的异常访问，这须要那个系统的DBA去深刻调查这个访问，包括是不是异常，影响有多大，等等。这须要一个跨部门的事件响应与处理机制。

（三）SIEM在IT治理和变动管理方面的考量
SIEM的使用对于GRC能够产生积极的影响。一样，基于IT治理的思想来考察一个SIEM项目的时候，仔细的规划和沟通对于确保SIEM解决方案符合企 业或组织中的利益相关方的预期、支撑业务目标、以及增长企业价值都相当重要。计划与沟通对于告知企业和组织相关人员在引入SIEM后所带来的流程变动的时 候一样十分关键。随着SIEM实施的逐步展开，能够参照如下几条指引，将有助于企业或组织在采购、集成和部署SIEM系统的过程当中创建起对于可能带来的变 更和影响的合理预期。
1）确保SIEM项目的全部利益相关方都创建起了各自对于SIEM方案的合理预期和明确目标。正如我以前所说，指望越大，失望越大。
2）定义范围。所谓“Don't boil the ocean”。 最好的方式是事先创建一套使用SIEM的用例，并与相关部门的人进行研讨、修订，并最终确认下来。这些相关部门的人，也即利益相关方，可能涉及内审、合 规、风控部门，或者IT安全、IT运维、IT架构部门、法律顾问，关键的业务领导，等等。此外，在创建用例的时候，能够根据这些用例列出一张本企业或组织 须要采集的设备事件源，以及事件类型等信息。这将有助于后续采购SIEM产品所用。此外，用例的创建也有助于后期创建合理的工做流程，并将适当的人员归入 其中。
3）事先考虑到SIEM系统致使的变化及法律后果。好的SIEM系统会带来合规管理、安全事件管理的效率提高，下降工做负担，可是，一样可能带来新的工 做，例如可能会新增一些工做职责，工做流程，并可能对现有业务体系形成影响。其实这也彻底正常。毕竟，有了SIEM后，工做效率提高了，之前没有精力关注 的事情天然要考虑进来。这就像常常有人说“没上管理系统以前，没以为工做有啥，上了之后，怎么工做忽然多了起来?"同样。在没有上SIEM的时候，管理人 员能够说事件太多，处理不过来，同时致使不少后续的工做也就搁置起来。可是上了SIEM之后，后续工做也就提上了日程，没有借口回避了。ISACA的这个 白皮书也列举了一些相似的例子。总之，要考虑清楚上了SIEM以后相关人员的工做流程的变化，并将这些变化告知相关部门、相关人，从新梳理岗位职责。别等 到真正用起来的时候才考虑，就晚矣。

从IT治理的角度来讲，企业和用户上SIEM不只是一个技术问题，同时也是一个管理问题，须要认真作好各方面的规划。不然，难保成功。

（四）SIEM在IT保证方面的考量
从IT保证的角度来讲，对于从事企业IT保证的团队和专家而言，对于SIEM系统能够从如下四个方面加以关注：
1）策略和治理。事实上，若是企业或组织事先没有真正创建起安全治理的策略、方针和程序，上SIEM更多则是基于一些零散的现实的需求或者是拍脑壳的决定。可实际上，大部分项目未尝不是如此？不过，从理论上来讲，策略方针老是第一位的。一个建议：能够经过前期的安全咨询项目再导入SIEM项目。
2）人：这里比较强调的人是指SIEM项目组的人。企业或者组织在上SIEM的时候，应该创建一个SIEM项目组，这个项目组人员应该可以表明各个部门的利益，制定出可行的SIEM目标、策略和计划。SIEM运维人员的技能和培训也是考虑到的。
3）流程：SIEM系统要收集来自各个地方的信息，分析并告警，交由相关人员进行处理反馈，SIEM系统自身还有一个维护的工做，这些都须要有比较清晰的流程。例如事件采集，例如事件响应处理。
4）技术：这里最关键的就是要考虑到SIEM系统与当前整个企业或组织的IT架构和安全技术要求的一致性、契合度。例如，是否可以与现有IT架构进行整合？如何整合？多大修改的工做量和影响性？是否符合本企业或组织的灾备策略？数据安全策略？等等。

总之，上一个SIEM系统，理论上能够提高企业和组织的安全与合规能力。可是上SIEM的过程颇有讲究，须要合理的规划、建设、维护，须要清楚的了解企业自身的现状、制定合理的目标和预期，界定清晰的范围，达成系统全部参与方的一致，在人、流程和技术等各个方面未雨绸缪。