互聯網普及20多年來，網絡安全也從簡單的設置防火墻和虛擬局域網(VLAN)，發展到了由機器學習(ML)和人工智能(AI)驅動的分析。變化太大，如何適應？

　　驅動網絡安全巨變的引擎是網絡犯罪，及其快速打敗安全技術迭代進步的超強能力，幾乎是安全技術一更新，網絡犯罪的新應對就接踵而來了。防火墻是第一個被挑戰的安全技術，需監視流量的規模之大、復雜度之高，已經到了無從應對的地步。曾經被視為可促進威脅追捕的入侵檢測系統(IDS)、入侵防御系統(IPS)和各層終端及設備安全措施，也很快步了防火墻后塵。

　　諷刺的是，導致防御措施跟不上威脅發展的罪魁禍首并不是防火墻、IDS、IPS和終端安全軟件檢測不到網絡攻擊，而是它們產生的警報開始讓防御者不堪重負。流量不斷增加，且新生代工具還在不停添加著需監視的賬戶、應用、權限和用戶；安全供應商急于采用可使人類合理揀選事件的專家系統來解決問題。

　　SIEM的興起

　　2000至2010年間，安全信息管理(SIM)、安全事件管理(SEM)及其相互結合的產物安全信息及事件管理(SIEM)，是解決數據過載的合理方法。SIEM不用各個專屬系統來管理日志數據，而是提供統一的視圖呈現收集自各個來源的數據并進行關聯處理。盡管SIEM成為了不可或缺的安全幫手——安全運營中心(SOC)和集中式安全監視如果缺乏SIEM將難以執行日志監視工作。

　　歸納總結下它的優缺點還是很有必要的：

　　·能快速關聯來自各安全事件的數據；若使用單個系統的日志，這種數據關聯要么不可能實現，要么耗時太長。一旦檢測到什么可疑的，可迅速指示安全系統加以阻止。

　　·能清楚凸顯當前及歷史異常(也就是違反了安全策略的事件或操作)。

　　·大多數SIEM都有報告界面供合規及審計使用，比如 PCI DSS 和HIPPA。

　　SIEM也有局限，首當其沖的就是其有效性取決于饋送進來的日志事件及運用規則關聯事件以產生有用警報的方式。原則上，好的規則應能發現異常事件。但想要既發現異常事件又不讓安全團隊被誤報淹沒，卻并不像市場營銷宣傳冊上寫的那么簡單。

　　很明顯，建立和維護這些規則(或者調整SIEM隨附的規則模板)是十分復雜的，因為標準化日志輸入以兼容各監視系統所用不同數據格式的過程就很復雜。鑒于這些格式和日志中捕獲的輸入都會隨時間進程而改變和增加，這項工作會變得繁復艱巨。

　　UBA及用戶的回歸

　　送進SIEM的數據不斷增加，SIEM管理越來越難，SIEM實時檢測攻擊又不至累垮安全團隊的能力遭到質疑。于是，人們不得不開始尋找新的萬能解決方案。Gartner所謂的用戶行為分析(UBA)便進入了人們的視線。

　　該方法點出了用戶的重要性，指出梳理網絡探測器收集的數據注定達不到安全目的，應該放棄猜測日志事件的含義及其相互關系，轉而關注用戶基線狀態及其憑證。一旦用戶事件偏離了已知正常狀態，無論是內部還是外部的正常狀態，就會產生警報。

　　2005年左右，新一代的防火墻已經納入了用戶管理功能，但對投入SOC和SIEM的公司企業來說，將該功能整合到統一的系統中總比作為單獨的監視設備更有意義。某些情況下，UBA被實現成SIEM的擴展或其自帶的一個功能，因為供應商是根據市場需求來開發產品的。

　　好像還差點兒什么？

　　2015年，Gartner認為UBA已經進化到了新的階段，演變成了用戶及實體行為分析(UEBA)，多加了一個字母?；旧暇褪窃黾恿酥鳈C、服務器和各種應用，某些UBA其實已經加入了這些東西供關聯用戶事件及其對服務器和數據的訪問?？梢哉J為，Gartner將UBA改為UEBA只是在說明一個明顯的事實：雖然監視用戶行為很重要，同時監視用戶與之互動的資源同樣重要。

　　引人深思的問題是UBA/UEBA是取代還是補足SIEM。不愿失去成熟市場的老牌供應商自然希望市場論調朝著這個問題不值得爭論的方向發展。比如說，如果公司企業已經部署了SIEM，那他們可以并行構建UEBA，將UEBA的數據饋送給SIEM以獲得更高層次的視圖。

　　另一種觀點則認為，UEBA不僅僅是傳統SIEM分析的一個面向用戶的擴展，而是理解網絡安全的全新方式。一直以來，網絡安全就是設計些通過規則來實現的策略。哪個地方出現了違反規則的事件，安全產品就會產生一條警報。這種模式的問題從來都是費時費力還攔不住機巧百出的攻擊者。而且，傳統模式對內部人威脅完全無效，具有合法權限的員工無論是惡意操作還是無意誤配置資源，都能躲過傳統方法的檢測。

　　機器與人

　　UEBA的重點在于檢測事件或其上下文是否偏離了網絡既定的“正?！睜顟B。這一點很大程度上由機器學習軟件實現，但機器學習本身并不是應UEBA的檢測需求而產生的，機器學習不過是恰好很擅長模式識別，能發現偏離既定狀態的異常情況而已。

　　如果使用機器智能作為安全工具的模式能證明有效，UEBA就可被視作SIEM的替代物。但二者也存在融合的可能。如果真的走了融合路線，市場可能會受到一定震蕩，因為這種演變將會整合供應商，讓他們在這個稍成熟的產品品類中互相競爭。

　　最終，客戶考慮的將不再是信任哪種技術，而是想要投資哪種網絡和安全治理方式。邊界安全仍是最簡單的網絡安全操作，即便在自身矛盾的重壓下瀕臨崩潰。

　　想要獲得最佳安全實踐，新采納的方法得能夠實時檢測威脅又不至產生太多誤報。另外，不用花太多時間爭論各種縮略語的含義了，未來屬于既能充分利用已有技術又對新技術敞開懷抱的解決方案。

責任編輯：韓希宇