解析Qradar:一款優秀的SIEM產品什麼樣
越來越多的企業在開始採用SIEM來幫助自己通過分析安全資訊和安全事件來找到潛在的威脅。企業需要在眾多SIEM產品中找到最適合自己的那款產品。Gartner將SIEM的關鍵能力分為八大點:
- 實時監測
- 事件響應與管理
- 高階威脅檢測
- 業務威脅情報
- 使用者監控
- 資料和應用監控
- 高階分析
- 簡易化部署和支援
總覽
IBM的SIEM解決方案是以QRadar SIEM為核心,同時配合附加元件來增加更多的安全能力:比如日誌管理的Log Management,網路監控的QFlow,漏洞管理的Vulnerability Manager以及風險管理的Risk Manager。從部署角度,QRadar可以一體化部署,也可以選擇分散式部署。另外,X-Force系統為QRadar帶來了強大的威脅情報能力。UBA(使用者行為分析)和IBM QRadar Advisor with Watson大大增強了QRadar的高階分析能力。對於有額外需求的企業,可以通過IBM App Exchange獲取額外的第三方整合和應用,滿足自己的企業的特殊需求。
Gartner針對三個方向對SIEM產品的評分前三甲
在Forrester的榜單中,IBM同樣處於領先位置
實時檢測能力
對於一個SIEM系統,實時的分析能力是這個系統是否能最快檢測出威脅的標杆之一。實時分析的核心是基於各類安全資訊產生的基線和與實時產生的事件進行對比,發現異常情況。因此,安全資訊的體量與分析能力尤為重要。
QRadar能力:QRadar中的QFlow可以提供網路流的分析,能夠識別七層中的應用程式,並且捕獲程序的包頭。QRadar通過分析日誌資訊、NetFlow、QFlow以及對資料包的深層檢測和全包抓取,對實時資訊進行分析。
事件響應與管理
僅僅能夠檢測到危險是不夠的,在發現事件後如何響應與處理也需要SIEM來協調。而從事件的響應與管理角度來看,靠安全人員手動操作會帶來時間以及效率上的不足。因此,如今的SIEM產品需要有自動化編排和響應能力來對即發時間進行處理。
QRadar:QRadar擁有較強的事件響應和管理能力,企業可以通過購買額外的服務來獲取完整的自動化以及編排能力。附加的自動化編排能力為企業提供了“響應指導”,幫助安全人員在特定時間點上找到正確的相關人員進行適當的處置。另一方面,QRadar附加的自動化編排能力可以反覆使用,安全人員不需要為了一個新的用例重新開發一個整合方式。綜合來看,QRadar能幫企業節省大約98%的響應時間。
高階威脅檢測
現在的環境中,企業往往需要防禦大量不同的攻擊,而為此則需要多種防禦工具以及安全廠商的產品。然而,對於企業來說,如果有一家安全廠商能做到多種複雜攻擊的防禦顯然要遠遠優於要在多家安全廠商之間進行協調和管理。
QRadar能力:QRadar的最大特點,就是其高階威脅檢測的能力。在實時檢測的基礎上,有部分裝置出現一次或者兩次的異常行為可能依然是正常情況。然而,一旦該裝置頻繁出現告警,並且傳輸大量異常資料,那麼QRadar就會捕捉到這一情況並且產生加強警報。另一方面,安全人員的一大顧慮在於要在海量的告警中發現有效告警,而很多告警往往是圍繞同一事件發生;即使這些告警為有效告警,安全人員依然可能會在這些告警中迷失,QRadar能幫助安全人員,將相關告警綜合在同一事件中給出,幫助安全人員更好處理安全事件。
業務安全與威脅情報能力
威脅情報與業務安全能為安全團隊提供大量的資訊來幫助安全團隊更好地面對已知的風險,同時對於未知的風險,可以更輕易地找到不正常的行為。因此,威脅情報能夠幫助款SIEM產品更好地發現、驗證攻擊,並且採取更加有效的響應方式。
QRadar能力:QRadar的另一個亮點是它強大的威脅情報能力。QRadar與IBM X-Force Exchange相連,能夠獲取海量來自IBM的情報資訊。IBM X-Force每天監控超過150億起安全時間來獲取匿名威脅資訊、2.7億終端實時獲取威脅情報、超過86萬惡意IP地址信譽資料、超過800萬垃圾郵件和網路釣魚攻擊深度情報分析等各大量情報來源於能力。當然,僅僅有資料量是不夠的——企業更在意他們真正面臨的危險有哪些。QRadar會根據企業的情況,告訴企業會面臨的最大威脅,以及又修復了哪些威脅。
使用者監控
威脅不僅僅來自外部,也有可能來自於內部。SIEM產品需要UBA來分析自身使用者的行為情況並且進行監控。使用者可能會被釣魚郵件等方式竊取憑據或者訪問非法站點,也有可能是主動行為進行資訊洩密。
QRadar能力:QRadar可以通過對使用者行為的監控與分析,發現潛在的威脅。行為的檢測需要大量的資訊,QRadar的威脅情報與業務安全的能力能幫助安全團隊更有效地將各類事件和行為關聯起來,發現哪些是正常的,哪些是不正常的。不僅僅是行為本身的分析,QRadar可以和威脅情報相關聯,發現使用者是否在和有威脅的物件進行看似正常的溝通。
資料和應用監控
資料已經成為了企業的核心資產之一。而應用如今也是攻擊者的重度利用物件之一。所以,SIEM也需要對企業的資料和應用進行監控。而對資料和應用進行監控的先決條件就是知道有哪些應用、有哪些關鍵資料,而他們又在哪裡。
QRadar能力:QRadar會先發現企業的關鍵資料有哪些,在哪,並對相關應用系統進行分析,發現是否有洩露風險。之後,QRadar利用自己的分析以及檢測能力,可以檢測到是否有新的應用開始執行,並監測應用的使用情況,以及該應用是否能夠或者嘗試訪問敏感資訊,並且對接入關鍵資料的流量進行監控,保護關鍵資訊。
高階分析
高階分析意味SIEM能否使用各類複雜的統計以及數理模型,結合日誌以及資訊來檢測異常行為。以如今的技術為例,機器學習、深度學習以及影象模型等,都是高階分析的實踐方式。另外,視覺化等能讓安全團隊更好地瞭解情況並且做出決策的功能也在此之列。
QRadar能力:QRadar除了UBA之外,還有IBM QRadar Advisor with Watson的AI系統,查詢威脅的根源和範圍,分析並得出可能的威脅發起人、最終目標以及其他資訊,幫助安全團隊更快解決問題。
簡易化部署和支援
SIEM系統並非每家企業都有能力完全使用和部署,尤其是對於中小型企業而言。然而,SIEM的價值卻逐漸受到中小企業的青睞。但是,中小型企業往往缺乏足夠的資源去使用和支援SIEM解決方案——其原因就在於SIEM的部署和使用由於功能的強大而過於複雜。即使對於大企業而言,如果能夠簡化部署並且提供更有效的支援,也能夠省下大量的成本。
QRadar能力:QRadar的部署與解決方案相當靈活。企業可以選擇一體化服務,也可以根據自己的需求選擇不同元件的功能。儘管選擇的多樣性很可能會讓缺乏安全人才的中小企業望而卻步,但是IBM自身的安全專家可以幫助中小企業找到最適合他們的解決方案。另外,IBM Security App Exchange也為企業提供可信的第三方解決方案,增強QRadar的靈活性以及附加安全能力。
總結
IBM作為一家老牌的計算機公司,在對於電腦保安的理解上有著強大的底蘊。因此,QRadar在高階威脅的檢測與響應上有著得天獨厚的優勢。從QRadar的能力上來看,我們可以發現SIEM產品的最大價值:就是通過實時的檢測、分析海量的資訊,給安全團隊提煉出最有價值的資訊,幫助安全團隊更好地把握當前的安全狀況,針對異常情況做出最合適的決定。所以,一款優秀的SIEM的基礎就是有實時的檢測能力、強大的分析能力以及簡便的使用部署。而在這之上,則是需要對異常的出現做出合適的響應、針對更高階的攻擊進行檢測,同時對潛在可能成為的威脅——比如使用者、應用,以及需要保護的物件——比如資料、裝置進行監控與防護。另一方面,對於企業來說,成本也是很重要的考慮因素,QRadar產品相對其他同類能夠達到類似效果的產品,成本上會顯得更加合理。