【集中化平台】SIEM雲端解決方案之優點與挑戰

在網絡安全方面我們常遇到這樣的挑戰：來自不同網安設備的資訊和事件格式不一致；網安事件與攻擊活動之間的關聯性不易發現；網安事件數量龐大，難以分析和處理。根據 RSA 2018 年大會報道，半數以上企業每天會收到一萬個網安警示，27% 的企業每天甚至會收到超過一百萬條網安警示。SIEM（Security Information and Event Management）系統可以幫助網安人員解決這些挑戰，並提高網安防護能力。

SIEM 是一種安全資訊與事件管理系統，可以將各種設備的資訊和事件整合並收集在一個集中化的平台上，幫助組織進行網絡安全監控、威脅偵測和事件回應。SIEM 結合了以往的 SEM（Security Event management）和 SIM（Security Information management），通常包含以下功能：

．日誌收集： 從防火牆、入侵檢測系統、資料庫、應用程式等設備收集網絡安全相關事件跟日誌。

．事件監控與分析： 監控收集到的系統和設備日誌，並經由手動或自動分析，識別出真正的威脅和攻擊。

．即時警告跟回應： 在 SIEM 設定警告通知，讓安全團隊在偵測到異常或潛在的威脅時能夠立即採取適當的措施來應對攻擊，如封鎖 IP、禁止帳號等。

．日誌儲存和查詢： 使用 SIEM 長期儲存日誌，快速查詢過往事件，讓網安團隊在集中的平台進行安全事件的調查和趨勢分析，同時滿足合規稽核要求。

不同於以往將 SIEM 部署在地端環境，SIEM 的雲端解決方案提供了許多雲端環境帶來的好處，同時也有因為將資料放至雲端而需要額外考量的因素，以下針對優點和挑戰進行探討：

優點：

1．節省成本、易於部署和具備擴展性： 如同其他的雲端服務，雲端 SIEM 不像在地端部屬需要投入大量資源進行硬體或軟體設置，雲端 SIEM 作為 SaaS 更容易擴展資源，減少基礎架構的限制。雲端 SIEM 同時也可以減少在硬體跟軟體維護上的人力資源，讓許多中小企業將資源更專注在資安監控與事件回應上。

2．責任分享與專業技術支援： 各家公有雲都有其遵守的責任模型，硬體方面的安全和維護改由雲端服務提供商負責，使用者只要選擇可靠的雲端 SIEM 服務提供商，並且能從提供商獲得專業的技術支援。

3．自動化與整合： 雲端 SIEM 與許多雲端上的安全工具和服務具有高度的整合跟相容性，使安全監控和反應更加自動化和高效。

挑戰：

1．資料私隱與合規性風險： 像是政府機關或銀行等有嚴格合規要求的組織，會需要考量到資料本身存放的內容及存放的地區，因此在使用雲端 SIEM 時，往往需要考量到機房位置，傳輸方式等因素，以確保資料安全跟符合各項規範。

2．網絡連線品質要求： 為了確保對安全事件的迅速回應，使用雲端 SIEM  需要穩定的網路連線品

3．資料安全： 當服務提供商出現網絡安全問題時，就可能對存放在 SIEM 的資料造成風險，因此在選擇提供商時也需要確認提供商在網絡安全方面的管控，並確保運行環境符合組織的安全控制規範。

4．成本長期評估： 由於雲端 SIEM 的費用會跟存放的資料量相關，在經過一段時間的使用後，隨著使用者跟設備的增加，SIEM 收集的資料量也會隨之增加，因此在費用上會需要預先評估資料量的增長，並隨時留意目前已存放的資料量。

隨著越來越多組織將地端環境搬遷上雲，變成雲地混合或是純雲的環境，雲端 SIEM 在成本、擴充性、系統整合性方面將會比地端部屬具有更多的優勢。許多供應商也提供情報資訊整合，以及跟 SOAR 一體的解決方案，搭配上機房直連的專有線路，雲端 SIEM 將有更多容易使用且不失安全性的解決方案可以選擇。

作者：Eric Huang
CloudMile 台灣資安工程師，負責處理公司專案有關資安方面議題，並介紹與協助客戶使用雲端資安解決方案