SOAPA来临，SIEM时代终结？

安全信息和事件管理（SIEM）产品及服务负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件中收集安全日志数据，并进行分析和报告。有些SIEM还可以试图阻止它们检测到正在进行的攻击，这可能帮助阻止破坏或者限制成功攻击可能造成的损坏。但是这段时间SIEM似乎遇到了强有力的挑战，现在的市场在推一种名叫SOAPA的概念，有些人说它会取代SIEM，果真如此吗？

SIEM从2005年正式诞生到现在，也就10多年时间。这段时间内，SIEM经历了从周边安全事件关联工具到安全分析系统的演变，最后成为一枝独秀。其早期供应商eSecurity，GuardedNet，Intellitactics和NetForensics也早已随着时光流逝不复盛况。今时今日，SIEM市场被LogRhythm，McAfee，HP，IBM以及Splunk等一些寡头垄断。

SIEM供应商概貌

而且有些激进分子认为SIEM是一种过时的的技术。他们认为，日志管理和事件关联根本无法跟上网络安全的发展的步伐。因此，我们需要新的技术来改变这种境况，比如人工智能、机器学习算法以及神经网络来对实时安全数据进行处理和分析。

还有一群“帮凶”也在无形之中给予他们支持，这群“帮凶”就是行业分析师，一些行业分析师唱衰SIEM，大肆宣扬“SIEM死亡论”。难道SIEM真的已死？其实也未必。企业的安全运行和分析需求迫切需要将以前的技术整合成一个新的东西。

SOAPA是什么？

于是乎，被ESG（Enterprise Strategy Group-企业战略集团）称作SOAPA（ a security operations and analytics platform architecture -安全运作和分析平台架构）的平台应运而生。这个平台包含类SIEM的功能，并且，SIEM本身的功能在其中仍然扮演着十分重要的角色，这些功能会将分析过的数据汇总到公共库中存储起来。与过去一枝独秀的地位不同，现在的SIEM只是SOAPA平台中的某一个组成部分。这些技术设计需要以异步协作作为前提，这样才能让安全工程师迅速通过工具找到数据并根据需要采取行动。

SOAPA是一个动态的架构，这意味着随着时间的推移，新的数据源和控制平面还会递增。另外，SOAPA本身就是基于SIEM开发的，那么SOAPA是否本身就只是个新的营销噱头呢？实际上，除了有与SIEM类似的功能之外，SOAPA还有以下的几个功能模块：

端点检测/响应工具（EDR）

安全分析家经常想要通过监测和调查主机行为深挖安全警报，所以EDR（这个领域的主要玩家有Carbon Black，Countertack，CrowdStrike，Guidance Software等）成为了SOAPA的重要组成部分。我们在先前的 Carbon Black分析文章中提过，EDR是一个类别工具和解决方案，专注于检测、调查和减轻在主机或端点的可疑活动。

事故响应平台（IRP）

我们知道，网络专家的工作除了收集，处理和分析数据的安全性之外，还需要尽快给警报排定优先级以及处理这些警报。基于上述需求，Hexadite，Phantom，Resilient
System（IBM），ServiceNow和Swimlane等IRP平台相继诞生。

网络安全分析

SIEM的日志分析和EDR主机行为监控都会由SOAPA中的流量和数据包分析来执行，这部分市场的主要玩家包括了Arbor Networks，Blue Coat/Symantec，思科（Lancope）和RSA。

UBA /机器学习算法

虽然UBA、机器学习等工具被业界过分炒作，但毫无疑问，机器学习在今后会大有作为，肯定会用于安全分析，正因为如此有潜力，业界大佬，如Bay
Dynamics，Caspeda (Splunk)， Exabeam，Niara，Sqrrl and
Varonis等都应该出现在SOAPA阵营中。

漏洞扫描器和安全资产管理

了解哪些警报需要优先级处理，是安全运行的重要组成部分。如果要做出这个决策，我们就不得不借助漏洞管理系统（如Qualys，Rapid7，Tanium）中的可靠数据和其他工具（这些工具监控系统状态和网络配置）来驱动，在这些数据和工具的帮助下，我们才可以做出决策。

反恶意软件沙箱

我们知道，有些针对性攻击可能会采用0day恶意软件来发动。有了这项技术后，我们就可以很容易的对这类攻击进行更充分的理解了。FireEye，Fidelis和趋势科技的沙箱肯定会成为SOAPA的一部分。

威胁情报

威胁情报也就是：“对敌方的情报，及其动机、企图和方法进行收集、分析和传播，帮助各个层面的安全和业务成员保护企业关键资产。”

通常情况下，为了自己的企业安全，企业组织想要将内部网络异常与外部的恶意软件活动作对比，以收集情报，化解危险。正是因为企业有这个需求，SOAPA才延伸到威胁情报的来源和其他平台（如Brightpoint，FireEye/
iSight的合作伙伴，RecordedFuture，ThreatConnect，ThreatQuotient等）。

除了技术本身之外，这里还有一些关于SOAPA的其他想法：

1、除了安全工具之间的数据交换，下一个较大的创新将来自于由中央SOAPA指挥和控制的安全基础设施的分析和管理（如配置管理，策略管理等）。

2、市场方面，市场已经在朝着SOAPA这边偏移。IBM对Resilient System的收购，Splunk对Caspida的收购以及 Elastic Search对的收购就是对这个趋势的最好见证。

3、众所周知，McAfee已经从英特尔独立出来，预计这家公司会投资其企业安全管理平台，以壮大自己在这方面的优势。另外，McAfee也在加快步伐，将自己的工具和生态伙伴与SOAPA技术集成起来，以及进行一些相关的收购，以填补架构方面的欠缺。

4、从上文可知，SIEM仍然在SOAPA中处于核心地位，它的优势还是比较明显，鉴于此，一些企业（CA？Palo Alto? Symantec？ Trend Micro?）或许会对LogRhythm进行收购，以抢占先机。

5、以上提到的各个技术要素都可以在内部或通过SaaS传递。因此SOAPA必须足够灵活才能适应这些选项。

6、在搭建SOAPA时，规模要足够大，特别是企业组织提高了云计算和物联网使用比例后，对规模这一需求就变得更为急切。我们也相信，云分析和存储在未来会成为SOAPA的一部分。

7、就目前的形势来看，一部分供应商可能提供自己专有的解决方案，但有些企业客户应该就不会买账了，他们有可能不采用单一供应商的解决方案，他们在搭建SOAPA方案的时候，会和那些比较一流的供应商和生态合作伙伴一起合作。而实力不足的中小企业则可以从单一解决方案供应商或者SaaS供应商处购买。

总结

我们不能说SIEM就此要被取代，起码它还是在SOAPA中发挥应该有的作用。SOAPA的出现，只证明了这个行业已经向更好的方向发展了，也表明安全的协作是个大趋势。SIEM未来还会向云分析和存储进军，将会有更多的SIEM厂商加入SOAPA阵营。

来自FreeBuf.COM

巴特西