SIEM/SOC类产品应用现状 超半数受访企业选择国内厂商产品

首页 / 业界 / 报告 /  正文
来源:安全419
发布于:2021-03-29
2021年3月24日,中国信息通信研究院(以下简称“信通院”)安全研究所联合FreeBuf咨询,发布了《国内网络安全信息与事件管理类产品研究与测试报告(2021年)》(以下简称“报告”)。


该报告的核心内容在展现了对安全信息实践管理技术发展以及国内SIEM/SOC类产品应用现状,对于广大用户了解相关的技术、产品以及实践情况有着较高的价值。接下来,我们用较短的时间快速了解一下报告的重点内容。

SIEM面临的挑战

在2005年,Gartner首次将SIM和SEM整合到一起,提出了SIEM的概念,安全运营和管理也由此买入了新的发展阶段。经过十余年的发展以及在合规的要求下,SIEM的目标群体也从一些大企业/机构转向了中小型企业,而为了帮助这些企业降低成本,SaaS形态的SIEM产品开始出现,并进一步推动了SIEM的广泛部署。

报告认为,尽管SIEM在事件分析和响应上已有成熟的体系,但近几年趋向复杂化、高级化的网络攻击依然对于以SIEM为主要解决方案的安全运营提出了挑战。主要集中在四点:

1、SIEM采用关系数据库技术构建,但随着日志数据源的数量增加,数据库的负载不断加重,限制了实时响应能力;
2、SIEM在运行中会产生大量告警事件,“告警过载”等于无告警;
3、SIEM采用模式匹配引擎技术(签名技术)进行上下文的匹配,容易产生大量误报;
4、SIEM简单地将事件的严重程度划分为高、中、低,缺乏细致的决策参考,对企业网络安全专业人才的技能提出更高的要求。

基于这些问题,报告也明确指出SIEM必须要有新的突破以应对更高级的威胁。报告援引CMSDistribution公司对企业安全运营的技术调研发现,传统的SIEM解决方案产生大量告警事件使得安全运营人员分身乏术,同时专业安全技能人才的缺失,使得传统SIEM解决方案的平均寿命已经缩短到 18-24 个月,无法有效应对云计算、大数据、物联网、人工智能新时代的网络安全挑战。如果这一状况在当前及未来得不到改变,那么必然将会面对无法满足企业客户需求的景象。

国内SIEM/SOC类产品应用现状

超三分之一部署了11个以上的网络安全检测类产品

报告调研的结果显示,有33.5%的受访企业部署了11个以上的网络安全检测类产品,数量在6-10之间的企业占比则是16.7%,合计超过了50%。

超四成受访企业在过去一年中各自处置了超10万起有效安全警报事件

在关于安全警报数量现状中,报告展示的数据有些“强悍”。


首先是在数量变化方面,有接近60%的受访企业表示过去一年中的安全警报数量相比2019年增加了1倍以上,增量迅猛,而这一趋势看起来仍会继续持续。同时,有42.2%的受访企业表示自己在过去的一年间处置了超过10万起有效的安全警报事件。


在判断是什么问题导致安全警报事件增加这一问题上,接近四分之一的受访企业认为是威胁数量增加导致的,这也符合当前网络安全的整体发展趋势。
 

此外,内部用户及资产增加(19.5%)、部署的安全产品逐渐增多(19.5%)也被认为是数量暴增的原因。

仅有不足1成半的企业认为自己在威胁发现和安全运营方面做的到位

报告数据显示,仅有14.8%的企业认为自己在威胁发现能力方面表现出了强大的自信,而在安全运营能力上,能够保有同样态度的受访企业占比只有12.9%,两者在各自的调查中均不足15%,但同时,数据也显示出有大量的受访企业认为自己在威胁能力发现(40.7%)和安全运营能力(50.1%)方面做的还可以,但仍有提升的空间。


整体来看,在这两方面能力的调查中,均有超过半数的受访企业表示自己在相应的场景下具备了较好的能力,但也要看到仍有不少企业做的还远远不够,在安全团队和检测、防御能力上仍处在较低的水平。

缺乏有效工具成企业面临的主要安全运营问题

报告显示,企业在安全运营方面所面临的主要问题还是缺乏有效工具,无论是自动化工具还是威胁管理平台等,而安全人员运营不足的问题占比也不低,但这一问题其实可以通过有效的安全工具来缓解。


国内安全信息和事件管理类产品应用现状

近五成企业部署SIEM/SOC产品 超半数选择国内厂商

报告数据显示,已经有46.9%的受访企业已经部署了SIEM/SOC产品,但是报告也指出有接近9成的企业不会选择单独部署SIEM/SOC产品,而是会搭配漏洞管理平台等产品综合运用。


同时,有51.1%的企业选择部署国内厂商的产品,选择国外产品的占比略微超过四成。


这一数据表明,尽管国外厂商在技术和市场方面仍处于领导者地位,但国内厂商在相关市场的努力成果已经在市场端开始显现,呈现出竞争力逐步增强的趋势。

认为部署SIEM对效率提升效果一般的企业超半数

在看到成绩的同时,也还要看到问题。在这份报告中,有54.8%的企业认为部署SIEM对企业安全运营效率提升的效果一般,相比之下,只有32.7%的企业认为显著提升。


而最不满意的问题方面,价格高昂、对安全运营人员技术要求高、分析能力弱、误报率高、安全资源占用过大在调查中占比靠前。

对SIEM集成安全能力期望最高以及最希望提高的均为“威胁情报能力”

在对SIEM产品能力期望部分,“威胁情报”排在首位,占比超过四分之一,排在第二位的则是“端点安全”(EDR),同样,在对SIEM产品期望的能力提升方面,54.7%的企业选择了“威胁情报能力”。


通过报告可以看出,国内企业对于部署SIEM/SOC产品有着较高的热情,而且国内厂商在当前国内市场竞争中已经有了不俗的表现,而未来否能依靠不断地提升自家SIEM的能力,更好地弥补在本报告中企业所提到的那些不足,更好的满足需求,将会是未来能否将优势地位持续保持下去的主要因素。

本文中的所有图片及数据均来源于“中国信息通信研究院安全研究所”及“上海斗象科技有限公司”在2021年3月发布的《国内网络安全信息与事件管理类产品研究与测试报告(2021年)》