SIEM/SOC类产品应用现状 超半数受访企业选择国内厂商产品

2021年3月24日,中国信息通信研究院(以下简称“信通院”)安全研究所联合FreeBuf咨询,发布了《国内网络安全信息与事件管理类产品研究与测试报告(2021年)》(以下简称“报告”)。

SIEM/SOC类产品应用现状 超半数受访企业选择国内厂商产品

该报告的核心内容在展现了对安全信息实践管理技术发展以及国内SIEM/SOC类产品应用现状,对于广大用户了解相关的技术、产品以及实践情况有着较高的价值。接下来,我们用较短的时间快速了解一下报告的重点内容。

SIEM面临的挑战

在2005年,Gartner首次将SIM和SEM整合到一起,提出了SIEM的概念,安全运营和管理也由此买入了新的发展阶段。经过十余年的发展以及在合规的要求下,SIEM的目标群体也从一些大企业/机构转向了中小型企业,而为了帮助这些企业降低成本,SaaS形态的SIEM产品开始出现,并进一步推动了SIEM的广泛部署。

报告认为,尽管SIEM在事件分析和响应上已有成熟的体系,但近几年趋向复杂化、高级化的网络攻击依然对于以SIEM为主要解决方案的安全运营提出了挑战。主要集中在四点:

1、SIEM采用关系数据库技术构建,但随着日志数据源的数量增加,数据库的负载不断加重,限制了实时响应能力;
2、SIEM在运行中会产生大量告警事件,“告警过载”等于无告警;
3、SIEM采用模式匹配引擎技术(签名技术)进行上下文的匹配,容易产生大量误报;
4、SIEM简单地将事件的严重程度划分为高、中、低,缺乏细致的决策参考,对企业网络安全专业人才的技能提出更高的要求。

基于这些问题,报告也明确指出SIEM必须要有新的突破以应对更高级的威胁。报告援引CMSDistribution公司对企业安全运营的技术调研发现,传统的SIEM解决方案产生大量告警事件使得安全运营人员分身乏术,同时专业安全技能人才的缺失,使得传统SIEM解决方案的平均寿命已经缩短到 18-24 个月,无法有效应对云计算、大数据、物联网、人工智能新时代的网络安全挑战。如果这一状况在当前及未来得不到改变,那么必然将会面对无法满足企业客户需求的景象。

国内SIEM/SOC类产品应用现状

超三分之一部署了11个以上的网络安全检测类产品

SIEM/SOC类产品应用现状 超半数受访企业选择国内厂商产品

报告调研的结果显示,有33.5%的受访企业部署了11个以上的网络安全检测类产品,数量在6-10之间的企业占比则是16.7%,合计超过了50%。

超四成受访企业在过去一年中各自处置了超10万起有效安全警报事件

在关于安全警报数量现状中,报告展示的数据有些“强悍”。

SIEM/SOC类产品应用现状 超半数受访企业选择国内厂商产品

首先是在数量变化方面,有接近60%的受访企业表示过去一年中的安全警报数量相比2019年增加了1倍以上,增量迅猛,而这一趋势看起来仍会继续持续。同时,有42.2%的受访企业表示自己在过去的一年间处置了超过10万起有效的安全警报事件。

SIEM/SOC类产品应用现状 超半数受访企业选择国内厂商产品

在判断是什么问题导致安全警报事件增加这一问题上,接近四分之一的受访企业认为是威胁数量增加导致的,这也符合当前网络安全的整体发展趋势。

SIEM/SOC类产品应用现状 超半数受访企业选择国内厂商产品

此外,内部用户及资产增加(19.5%)、部署的安全产品逐渐增多(19.5%)也被认为是数量暴增的原因。

仅有不足1成半的企业认为自己在威胁发现和安全运营方面做的到位

报告数据显示,仅有14.8%的企业认为自己在威胁发现能力方面表现出了强大的自信,而在安全运营能力上,能够保有同样态度的受访企业占比只有12.9%,两者在各自的调查中均不足15%,但同时,数据也显示出有大量的受访企业认为自己在威胁能力发现(40.7%)和安全运营能力(50.1%)方面做的还可以,但仍有提升的空间。

SIEM/SOC类产品应用现状 超半数受访企业选择国内厂商产品

SIEM/SOC类产品应用现状 超半数受访企业选择国内厂商产品

整体来看,在这两方面能力的调查中,均有超过半数的受访企业表示自己在相应的场景下具备了较好的能力,但也要看到仍有不少企业做的还远远不够,在安全团队和检测、防御能力上仍处在较低的水平。

缺乏有效工具成企业面临的主要安全运营问题

报告显示,企业在安全运营方面所面临的主要问题还是缺乏有效工具,无论是自动化工具还是威胁管理平台等,而安全人员运营不足的问题占比也不低,但这一问题其实可以通过有效的安全工具来缓解。

SIEM/SOC类产品应用现状 超半数受访企业选择国内厂商产品

国内安全信息和事件管理类产品应用现状

近五成企业部署SIEM/SOC产品 超半数选择国内厂商

报告数据显示,已经有46.9%的受访企业已经部署了SIEM/SOC产品,但是报告也指出有接近9成的企业不会选择单独部署SIEM/SOC产品,而是会搭配漏洞管理平台等产品综合运用。

SIEM/SOC类产品应用现状 超半数受访企业选择国内厂商产品

极牛网精选文章《SIEM/SOC类产品应用现状 超半数受访企业选择国内厂商产品》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15507.html

(0)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2021年4月12日 上午12:00
下一篇 2021年4月16日 上午11:10

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部