2023年的 SIEM 和 SOAR：主要趋势和新变化

众所周知，在安全运营中心（SOC）的整个发展历程中，安全信息和事件管理（SIEM）一直是其中至关重要的关键组件。随着SOC的逐渐发展，安全编排与自动化响应 （SOAR） 框架逐步出现，进一步填补了过去 SIEM 系统留下的功能空白。
 
但过去几年里，许多专注于安全运营赛道的厂商在SIEM和SOAR的技术层面已经无法拓展，开始转向例如扩展检测和响应（XDR）在内的其他安全运营理念和更大的解决方案。那么这种转变是否意味着SIEM和SOAR即将走向终结？还是说未来会变成XDR的一个组件？



SIEM 和 SOAR：自 2020 年以来发生了什么变化？
 
2020年时，我们发现，随着软件即服务（SaaS）SIEM安全工具的增长，许多供应商在基础设施即服务（在AWS/Azure中运行）和容器中提供SaaS化的部署方式，以提供更灵活、更规模化和可移植性的SIEM方案。快速灵活的云服务是2020年SIEM买家应该寻找的附加功能趋势的主要因素。
 
三年过去，市场发生了变化。虽然大多数 SOC 仍然依赖 SIEM 工具，但 IT 运维人员开始意识到它们面临的局限性。事实上，与可能阻碍迁移到云的传统技术非常相似，陈旧的 SIEM 解决方案可能会阻碍有效的事件响应。
 
原因也很简单：虽然日志记录和事件管理对于安全人员了解当前的安全状况是必要手段，但它们不足以单独解决问题。虽然将日志和事件管理类产品与 SOAR 结合使用有助于延长其使用寿命，但并不能消除主要问题。这些工具的核心是被动式响应，这意味着它们的价值也是有限的。
 
SIEM 和 SOAR 的新趋势和新变化
 
尽管存在局限性，但2022 年，SIEM 市场价值 5 亿美元，现在有望在未来五年内达到 2 亿美元。与此同时，SOAR去年的市值为8.5亿美元，预计复合年增长率为1.32%。从SIEM和SOAR的市场中都能够看到显着的增长。这意味着，SIEM和SOAR解决方案已成为网络安全框架的基本组成部分。
 
但同时安全管理者们也应该认识到，需要新的方法来应对不断变化的安全威胁。
 
不断变化的攻击模式
 
攻击者正在改变他们的攻击手段和方法。随着办公模式向远程和混合办公模式的转变，攻击者们已经在向前和向后移动：向前，攻击者正在寻找利用供应链和0Day漏洞的新方法。向后，攻击者加大了对远程办公人员的钓鱼攻击频次，因为这些攻击仍然十分有效。
 
作为回应，SIEM 和 SOAR 工具也都丰富了相应的能力，去帮助企业用户检测潜在的网络钓鱼工作，并集成新的威胁数据以帮助查明可能的入侵点。
 
流程自动化
 
自动化目前正在有效防御中发挥着关键作用。根据 IBM 最近的一项调查统计，87% 的 SOC 团队成员表示，自动化将在威胁响应过程中节省大量时间。但只有 55% 的团队使用自动化进行威胁发现，只有53%的团队使用自动化来改进逻辑和警报。
 
因此，2023 年SIEM和SOAR解决方案会继续向云中迁移，因为可扩展的资源可以更好地支持自动化选项。
 
SIEM已死？AI将为SIEM注入新活力
 
在各个媒体平台关于 SIEM 的文章中，我们会从中发现一个共同的主题：SIEM的时代即将走向终点。
 
是真的吗？差一点。有错吗？不完全是。原因是，SIEM 擅长收集安全数据并通知 IT 团队。但在今天，最初关于安全状态的定期报告已经升级为所谓的“警报疲劳”——与桌面、移动和个人设备相关的潜在事件和可能的问题数量之多，已经让团队充斥着警报。尽管尽了最大努力，这些警报最终还是开始融合在一起，使警报这件事情开始失去意义。再加上误报的频繁出现，安全团队通常更容易忽略重复的警告。
 
根据 IBM 的调查数据，发现 SOC 团队成员每天只能处理完一半的警报，更糟糕的是，团队成员甚至每天需要花费三分之一的时间来验证警报时间的准确性。
 
但值得庆幸的是，SIEM 和 SOAR 现在都开始从人工智能中受益。在这两种情况下，采用 AI 工具可以大幅降低警报数量并自动执行安全响应，将IT人员从海量的警报解放出来。IT团队也不会继续每天收到数百个易于解决的警报，而是只收到需要尽快响应的警报。所有其他问题都可以由AI来自动下发给对应的人员处理。
 
安全运营解决方案的下一步会向哪里发展？
 
虽然大多数公司没有计划放弃 SIEM 或 SOAR，但他们认识到需要有填补空白的解决方案。
 
这就是扩展检测和响应 （XDR） 的价值所在，XDR 结合了网络和端点检测和响应（NDR 和 EDR）工具，使公司能够识别威胁并实时响应威胁。在混合和远程办公驱动的场景中，这一点至关重要。在日益复杂的网络环境中，端点的数量之多使得“可见性”成为组织的首要任务，但也使实现这种可见性成为一项挑战。而XDR 方案能够针对复杂网络中应用程序和服务的行为进行检测，更高效的帮助企业用户查明存在潜在问题的位置，并采取措施修复这些威胁。
 
XDR 解决方案现在被认为是最有效的威胁检测工具，业内专家预测，在未来一年中，有三分之二的XDR供应商都将得到机构的投资。然而，就像SOAR和SIEM一样，即使是 XDR 工具也不是安全的灵丹妙药。相反，它们构成了互联、整体网络安全方法的一部分，提供了大多数企业 SOC 目前缺少的主动流程。
 
2023 年开始，SOAR和SIEM 将成为更大的威胁管理环境的一部分，企业用户会将实时检测和响应解决方案分层到现有安全框架上来转向主动模型。最终使用更符合时代需求的SIEM 解决方案增强安全状况，使威胁检测更加智能，以便安全分析师可以更快地进行补救，同时守护好业务的安全底线。