【注:本文是我基于对Gartner2022年安全与风险管理北美峰会材料的感受形成的一篇随笔】
注意,我在这里谈的不是未来的SIEM形态,譬如Cloud SIEM,而是SIEM的存亡。
SIEM的过去
2005年,Gartner将SIM和SEM合并为SIEM,并将原来的IT安全管理平台改为SIEM,发布了第一份SIEM魔力象限报告。彼时,SIEM市场受到合规需求的驱动,刚经历了一轮大爆发。
一直以来,SIEM都存在三个核心目标(满足三种需求):集中管理、威胁管理、合规管理。其中,这里的威胁管理和合规管理建立在集中管理基础上。
在2005年之前,第一目标是集中管理,那时候SIEM不叫SIEM,叫集中安全管理平台,而恰恰国内一直沿用了这个称呼。
2002年萨班斯法案(SOX)的颁布,导致合规需求日益凸显,到2005年SIEM术语诞生的时候,合规管理已经成为了SIEM的第一需求驱动力,几乎所有用户都会问SIEM厂商是否支持生成SOX报表。另一方面,SIEM中的安全集中管理需求和功能逐渐弱化,统一策略管理从SIEM中分离出去,成为专门的一个细分市场和产品门类。
再后来,网络攻击不断升级,2009年底的谷歌极光攻击事件和2010年Mandiant发布的APT报告将网络威胁推到了高潮,拉开了安全从合规转向对抗的大幕,从2013年开始,SIEM的第一需求和驱动力变成了威胁管理【注:国内则要更晚一些】。2016年的SIEM魔力象限报告中,Gartner更是直言:“攻击检测与响应成为了驱动SIEM市场蓬勃发展的主导驱动力”。也是从这段时间开始,SIEM的合规管理渐渐弱化,同时专门应对合规需求的GRC类产品和细分市场逐渐成形。
SIEM的现在
欢迎来到安全对抗的时代!这是回归安全本源的时代。不只是SIEM,所有安全产品和技术都会被问到:你能防范或者检测攻击吗?所有产品和技术都在这个方向上努力。SIEM抓住了这个机遇,凭借其作为集中管理层的区位优势(请允许我借用这个经济学术语,它十分形象),获得了极大的发展。Gartner将安全对抗时代的SIEM称作“现代SIEM”。
在这个过程中,SIEM不断丰富其内涵,凭借吸星大法,将UEBA完全吸纳进来,集成TIP,集成SOAR,目的就是一个,维持其在威胁管理领域的塔尖地位和在SOC中的C位。看看Gartner最新SIEM关键评价指标就知道了。
但在集中管理层处理威胁着实不易,尤其是随着日志和数据接入的越来越多,告警爆炸,报警疲劳凸显。至今,这也是安全运营人员心中的痛。大数据和云计算技术解决了海量数据采集和存储的问题,基于大数据的安全分析技术以及ML让我们在分析方面有所改善,但并未带来质变。
于是,人们开始反思,越来越多分散性部署的,位于管理层之下的检测类产品显现出了优势。不论是终端检测,还是网络检测,都试图在威胁目标近源提升检测效率,产生告警的威胁告警送给SIEM,降低SIEM的分析压力。这个思路取得了很好的成效,以至于终端检测和网络检测产品不仅做检测,还开始做快速响应了,EDR、NDR应运而生。再往后,EDR,NDR们已经不满足于在SIEM之下了,因为他们也已经用到了大数据分析技术,自身的体量也越来越大,开始挑战SIEM的区位优势。
最初的时候,SIEM并不在意。因为IDS也曾经向SIEM发起过类似挑战,失败了。因为IDS的检测能力还不足以打动客户,并且IDS也远远代表不了广泛的安全基础设施,SIEM的多源异构数据整合能力和单一的全局管理视图能力在用户心中占据了牢牢的位置。
但这次不同了。XDR出现了,它试图集EDR、NDR以及其他多元化的安全基础设施于一体,携在威胁检测领域取得的战绩,直奔威胁检测的巅峰,向SIEM发起了挑战。请看下图:
是的,这时的XDR在检测能力上已经能够打动客户和运营人员,XDR的多元化整合能力(向SIEM学来的吸星大法吗?)已经能够覆盖很多客户(尤其是中型客户)的大部分威胁管理能力。越来越多的用户开始发问:我们需要XDR吗?XDR够吗?我们还需要SIEM吗?他们是什么关系?
再回顾当前SIEM的核心目标:(1)集中管理这块,XDR虽然比不过SIEM,但也有小成,而且还具备响应能力,能够建立与检测设备的双向通道。因此,大而全的集中管理XDR(目前)还比不上,但至少在威胁检测与响应领域,可以成为一个集大成者。(2)威胁管理这块,XDR咄咄逼人,因为它是为了威胁检测与响应而生的,凭借其近源检测能力获得的一手信息,可以更好地识别威胁。而SIEM拿着二手的日志做分析,显然吃亏。本来,分散的EDR,NDR和各类检测设备如果能将高质量的告警给到SIEM,是两全其美各司其职,但XDR并不愿甘居人下,非要自己整合这些信息形成威胁管理的闭环。当下,SIEM面临的XDR挑战主要就来自于威胁管理这块。从某种程度上来说,XDR其实是IDS时代提出的UDS(统一检测系统)理念外加一个响应,我们不妨将XDR看作UDR(统一检测与响应),只不过U这个提法现在out了,现在流行X。(3)合规管理,暂时忘了它吧。
那么XDR和SIEM到底是什么关系?Gartner其实也没有给出结论,因为我猜这个结论是不会提前给出来的,而是会等到尘埃落定时总结出来的。等着瞧吧。在6月7日到10日举行的28届Gartner安全风险管理北美峰会上,Gartner放出了下图,各位可以自行体会。注意“may”这个词。
到底是什么是XDR?Gartner给出的是XDR的形,却没有点到XDR的神。我认为,XDR代表了一种威胁检测与响应的集大成者和终极理念,它能够采取多种技术手段,全方位的对客户网络的威胁进行检测,并将这些不同视角的威胁信息结合情境信息进行融合,得出真正的威胁,并充分利用自动化手段进行快速响应,消除和缓解威胁,同时尽可能减少人的参与,简化人的操作。XDR叫什么无所谓,包括什么也不重要,关键是达到上述目标。因此,很多厂商都纷纷称自己能够做到。下图随便就列出了4个XDR的竞争者。其实远不止这些。
BTW,如果你的公司同时具备SIEM、EDR、NDR产品,那么恭喜你,他们都有机会发展为XDR,要不要先内部PK一下?哈哈。
其实,无论XDR叫XDR还是别的什么,关键是解决什么问题,怎么解决。SIEM厂商从来都认可XDR的目标,也一直试图去达成上述目标。但是SIEM的底盘太大了,要考虑的因素太多了,在简化运营这个维度上做得很不到位,已经被客户打上了标签,给了XDR可乘之机。人总是喜新厌旧,哪怕这个新最后也没比旧好到哪里去,要的就是那种切换时的快感。
当下,检测领域最火的词就是XDR。
关于XDR暂时就讲到这里,我有一篇暂定名为《XDR的战争》的文章正在写,那里会详细对比分析XDR和SIEM。让我们回到今天的主题。
SIEM厂商向来都是最“包容”的,吸星大法练得很好。面对XDR的咄咄逼人,SIEM厂商使出了两板斧:(1)将XDR作为SIEM的下家,接入SIEM。(2)把SIEM裁剪一下,推出自己的XDR。下图是我在最新SIEM魔力象限基础上标注出来的。
作为SIEM概念的缔造者,Gartner似乎对SIEM还念念不忘,并不打算就此废弃掉,当然也还没到抉择的时候。除了上面SIEM厂商采取的两个对策,还给SIEM厂商们支了一个新招——提出了一个新的术语TDIR。好吧,用魔法打败魔法!用buzzword PK buzzword!
SIEM的未来
TDIR是个什么鬼?Gartner目前也没有明确清晰的定义,只是作为一个对SIEM未来发展可能性的一个概述,可以作为Threat Detection, Investigation and Response的缩写,也可以作为Threat Detection and Incident Response的缩写。在此次峰会上,Gartner分析师没有给出TDIR的定义,仅口述了TDIR的轮廓。大致的意思是:TDIR是SIEM在聚焦威胁管理领域后发展出来的一个分支,它强调事件调查、威胁猎捕、红蓝对抗,引入了攻击模拟(BAS)、SOAR等技术,内置更多的遥测能力,超越了现有SIEM的基本功能。上述功能基本上也都是SOC运营时需要用到的高级功能。Gartner没有给TDIR清晰的定义,但却给出了一个预测:
啥?75%?自带遥测?哈哈!
重点来了。在本次峰会上,Gartner首次给出了未来SIEM的演进图。
抛开SOAR不谈(事实上我另外有一篇关于SOAR的长文,和本文一样长,会专门分析其发展趋势),我们看到,Gartner认为未来SIEM会出现一个名为TDIR的分支,而这个分支会吸收SOAR(但不会全部吃掉),以及增加我刚才提及的那些高级特性,作为一个更加聚焦于全面威胁检测与响应的产品。
基于此,Gartner给出了未来SIEM可能面临的多种可能命运:
如果你仅仅看这个图,可能会受到误导。你必须听分析师解读这个图。简单说,有三种可能:
1)范式升级:发展为TDIR平台,并且下面接入XDR
2)蚕食消亡:被XDR平台取代
3)并存发展:SIEM(以及作为SIEM子集的TDIR)和XDR各自有各自的适用场景,譬如根据客户成熟度水平,客户单位规模等进行划分。譬如Gartner构想一幅图景,用集中日志管理、XDR、SIEM、TDIR依次满足客户从初级到高级的安全成熟度。
没错,和我刚才的分析类似。
BTW,如果你去看看Forrester的观点,会发现他们更加激进(可能因为Forrester字典库里没有SIEM吧),更加认定XDR未来将成为SIEM的强有力竞争者。
写在最后
那么对于中国市场的SOC平台(或者叫安管平台),未来如何?对不起,我这里分析的对象是SIEM,不是SOC平台或者安管平台,两者有很多重叠,但并不等价。一般而言,国内的安管平台比SIEM范畴要更大,是包含关系。也因为如此,安管平台在跟XDR竞争时会比SIEM更有优势,但劣势也更明显——就是更复杂、更不易运行起来。
XDR会取代安管平台吗?目前看可能性不大。但XDR会去蚕食安管平台中客户认为其实是威胁检测类需求的那部分市场。也就是说,XDR会吃掉部分安管平台的预算。好消息是,SOC和安管平台市场足够大,完全容得下大家各显神通。
态势感知呢?哈哈,那是一个更大的混沌宇宙。