如今，數(shù)據(jù)泄露變得越來(lái)越普遍。越來(lái)越多的黑客變得非常厚顏無(wú)恥，并進(jìn)行了一些真正可怕的網(wǎng)絡(luò)攻擊。一份報(bào)告顯示，從2010年到2021年，年度數(shù)據(jù)泄露數(shù)量增加了約60%。

使用安全信息和事件管理(SIEM)系統(tǒng)保護(hù)數(shù)據(jù)免受黑客攻擊有很多好處。如果您以前從未聽(tīng)說(shuō)過(guò)這項(xiàng)技術(shù)，這篇文章說(shuō)明了它對(duì)數(shù)據(jù)安全的重要性。

Gartner副總裁分析師Anton Chuvakin曾暗示存在虛假的SIEM替代品。僅僅因?yàn)榫W(wǎng)絡(luò)安全技術(shù)在一個(gè)或幾個(gè)用例中優(yōu)于SIEM，并不意味著它已經(jīng)可以成為替代方案。它是試圖保護(hù)數(shù)據(jù)的公司的最佳解決方案之一。

“沒(méi)有一種威脅檢測(cè)技術(shù)可以取代SIEM或作為可靠的整體替代方案，但在特定用例中，許多威脅檢測(cè)技術(shù)都超過(guò)了SIEM，”Chuvakin寫(xiě)道，并補(bǔ)充說(shuō)“更好的車輪不是汽車的替代品。”

然而，這個(gè)說(shuō)法是在大約五年前發(fā)表的。網(wǎng)絡(luò)安全行業(yè)發(fā)生了很大變化，已經(jīng)開(kāi)發(fā)出可以與SIEM競(jìng)爭(zhēng)或取代其功能的優(yōu)秀解決方案。

打開(kāi)XDR

企業(yè)應(yīng)考慮的可行SIEM替代方案是Open XDR。它被稱為一體化的SecOps平臺(tái)，提供了一種統(tǒng)一、自動(dòng)化和簡(jiǎn)化的方式來(lái)執(zhí)行安全操作。它的特點(diǎn)是能夠超越端點(diǎn)并實(shí)現(xiàn)整體安全態(tài)勢(shì)可見(jiàn)性。它還需要一種開(kāi)放且與供應(yīng)商無(wú)關(guān)的方法來(lái)檢測(cè)和響應(yīng)網(wǎng)絡(luò)威脅。

Gartner表示，XDR（擴(kuò)展檢測(cè)和響應(yīng)）是“一個(gè)統(tǒng)一的安全事件檢測(cè)和響應(yīng)平臺(tái)，可自動(dòng)收集和關(guān)聯(lián)來(lái)自多個(gè)專有安全組件的數(shù)據(jù)”。Open XDR通過(guò)覆蓋現(xiàn)有安全組件中的所有數(shù)據(jù)（而不僅僅是專有數(shù)據(jù)）來(lái)改進(jìn)XDR。

此外，Open XDR結(jié)合了多種安全解決方案，包括用戶實(shí)體和行為分析(UEBA)、威脅情報(bào)平臺(tái)(TIP)、網(wǎng)絡(luò)檢測(cè)和響應(yīng)(NDR)、安全編排自動(dòng)化和響應(yīng)(SOAR)以及安全信息和事件管理(SIEM)）。

SIEM在這里成為Open XDR的一部分并不一定意味著SIEM可以在更大平臺(tái)下作為組件或小型應(yīng)用程序使用。相反，Open XDR在適用的情況下合并了SIEM的功能，或者集成了執(zhí)行SIEM操作的現(xiàn)有解決方案。

Open XDR提供的功能范圍相當(dāng)廣泛，它不是作為一個(gè)擁有自己一長(zhǎng)串功能的平臺(tái)，而是作為一個(gè)集成現(xiàn)有功能的平臺(tái)。它與企業(yè)現(xiàn)有的安全堆棧配合使用，確保輕松快速的部署。它還提供從檢測(cè)到響應(yīng)的整個(gè)威脅生命周期的全面覆蓋。

相同的目標(biāo)，不同的架構(gòu)

比較Gartner對(duì)SIEM和XDR的定義會(huì)發(fā)現(xiàn)兩者有些相似。它們都通過(guò)對(duì)從整個(gè)企業(yè)的各種安全組件獲得的安全數(shù)據(jù)進(jìn)行上下文化來(lái)增強(qiáng)威脅檢測(cè)。Open XDR本質(zhì)上是XDR，強(qiáng)調(diào)使用集成（開(kāi)放性）和全面的數(shù)據(jù)覆蓋（涵蓋專有和非專有數(shù)據(jù)）。

現(xiàn)在，比較SIEM和Open XDR，可以說(shuō)它們的目標(biāo)相同，但架構(gòu)和方法不同。后者可以說(shuō)具有優(yōu)勢(shì)。優(yōu)點(diǎn)可以總結(jié)如下：

• 強(qiáng)制規(guī)范化和豐富——在Open XDR中，系統(tǒng)確保所有數(shù)據(jù)在存儲(chǔ)到數(shù)據(jù)湖之前都相似或相互兼容（規(guī)范化）。如果數(shù)據(jù)不完整，則會(huì)獲取并附加其他信息（豐富）。
• 自動(dòng)關(guān)聯(lián)和上下文化——Open XDR采用人工智能自動(dòng)關(guān)聯(lián)警報(bào)或安全數(shù)據(jù)，以確保準(zhǔn)確和徹底的檢測(cè)。沒(méi)有人為制定的規(guī)則，就像在SIEM下發(fā)生的那樣。
• 在同一平臺(tái)上快速響應(yīng)——Open XDR旨在進(jìn)行關(guān)聯(lián)（以檢測(cè)事件）并迅速在同一平臺(tái)內(nèi)提供適當(dāng)?shù)捻憫?yīng)。這使得Open XDR流程大大加快，而SIEM通常必須將警報(bào)傳輸?shù)絊OAR組件以進(jìn)行關(guān)聯(lián)和適當(dāng)?shù)耐{檢測(cè)。然后將處理后的信息返回給SIEM以獲得合適的響應(yīng)。
• 統(tǒng)一安全工具和解決方案——此外，Open XDR提供了在單一平臺(tái)下訪問(wèn)各種安全工具（由于廣泛集成）的優(yōu)勢(shì)。如前所述，這些工具包括UEBA、TIP、SOAR和NDR。使用SIEM，安全分析師必須自己弄清楚如何組合復(fù)雜的工具。

Open XDR中的強(qiáng)制數(shù)據(jù)規(guī)范化和豐富化使其成為利用人工智能的更好平臺(tái)。由于數(shù)據(jù)在存儲(chǔ)之前進(jìn)行了規(guī)范化，因此更容易構(gòu)建良好的AI系統(tǒng)來(lái)關(guān)聯(lián)安全警報(bào)和事件并建立上下文以促進(jìn)更有效的自動(dòng)化檢測(cè)和響應(yīng)。

傳統(tǒng)的SIEM無(wú)法匹配AI的這種效率和最佳使用。它無(wú)法生成與Open XDR可以提供的保真度相媲美的AI引擎。此外，SIEM對(duì)AI的使用不太可能像Open XDR那樣易于擴(kuò)展。

可能勝過(guò)NextGen SIEM

SIEM在過(guò)去幾年中也得到了發(fā)展。NextGen SIEM的出現(xiàn)是一個(gè)可喜的發(fā)展。然而，NextGen SIEM并不完全是SIEM的替代品。它的核心功能仍然與其前身相同?？赡芤呀?jīng)添加了新功能和基礎(chǔ)特性，但它們不太可能解決威脅參與者專門(mén)設(shè)計(jì)的新威脅，以利用SIEM弱點(diǎn)并繞過(guò)SIEM控制。

NextGen SIEM和頂級(jí)Open XDR平臺(tái)之間的差距可能不再像在傳統(tǒng)SIEM和Open XDR比較中觀察到的那么大。盡管如此，在討論SIEM替代方案時(shí)，Open XDR展示了真正的替代方案是什么。它不僅僅是SIEM的改進(jìn)版本。它旨在解決SIEM及其下一代迭代可能無(wú)法解決的挑戰(zhàn)。

NextGen SIEM可能已經(jīng)在使用大數(shù)據(jù)技術(shù)、UEBA和其他安全工具、改進(jìn)的用戶界面和體驗(yàn)、SOAR集成以及數(shù)據(jù)建模插件。但是，與Open XDR的架構(gòu)優(yōu)勢(shì)相比，這些增強(qiáng)功能還不夠有競(jìng)爭(zhēng)力。

SIEM為數(shù)據(jù)安全提供了卓越的優(yōu)勢(shì)

隨著網(wǎng)絡(luò)攻擊日益增多，數(shù)據(jù)保護(hù)日益受到關(guān)注。雖然權(quán)威人士可能會(huì)繼續(xù)說(shuō)SIEM仍然不可替代，但不可否認(rèn)的是，已經(jīng)出現(xiàn)了比SIEM做得更多的新解決方案。它們對(duì)數(shù)據(jù)安全非常有幫助。此外，組織的安全需求發(fā)生了變化，他們可能需要SIEM以外的東西來(lái)有效檢測(cè)和響應(yīng)威脅。

Open XDR不僅僅是對(duì)SIEM的升級(jí)。它提供了一些不同的更好的東西。它不僅僅是對(duì)SIEM的改進(jìn)，而是一種應(yīng)對(duì)威脅的新方法，以適應(yīng)網(wǎng)絡(luò)威脅形勢(shì)的變化、企業(yè)攻擊面的擴(kuò)大以及由于使用脫節(jié)的多種安全解決方案而導(dǎo)致的安全團(tuán)隊(duì)效率的下降.