黑客业务

Forrester Wave™ 的作者引用了帝国反击战的一句话来总结 SIEM 的发展方向：“你应该留在这里，和我们在云端。”继续跟随“星战”在《魅影危机》中，我们也找到一些真理：“你无法阻止变化，就像你无法阻止太阳下山一样。”

在适应不断变化的威胁方面，安全分析一直是一贯的需求，今年也不例外。威胁检测、调查和响应比以往任何时候都更为复杂。由于员工在家工作的威胁环境不断演变，企业正逐渐将工作负荷转移到云端。因此，现代安全分析并不局限于 SIEM，还包括 SOAR、分析用户和实体行为(UEBA)，甚至扩展的检测和响应 (XDR)。作为买家，我们在购买时应该考虑哪些趋势？来自 2021年《The Forrester Wave™：2020 第四季度安全分析平台的洞察解读，云服务将成为选择解决方案的关键，并为一系列功能选择指明道路。

为云服务SIEM 网络安全

过去，安全分析被视为本地工具集。但近年来，软件是服务 (SaaS) 的 SIEM 安全工具呈上升趋势。这种情况是由需求变化引起的，即减少资本支出转向基于运营支出的模型。此外，作为 SaaS 提供的 SIEM 工具还可以缩短价值实现时间，更灵活，更容易扩展。

如今，许多供应商在基础设施中服务( AWS/Azure 运行)和容器产品提供云部署支持。这些解决方案的部署可以更灵活，提供更好的可扩展性和可移植性。

Forrester 报告的作者说， SaaS 或在云托管模型下使用 SIEM“使供应商能够更快地向客户推出新功能，并减少这些系统的管理费用”。

快速灵活的云服务是 SIEM 买家在2021年选择附加功能时应考虑的主要因素。

可定制性

对于企业来说，供应商直接提供的测试内容和分析足以满足需求。然而，使用高级用例的企业对灵活性有更高的要求。此外，高级用户需要能够创建定制分析。开放式分析和机器学习对定制测试至关重要。

高级分析

2018 年，Gartner 预测 85% UEBA 将成为一个更广泛的安全平台。许多供应商支持行为分析，并通过网络和终端检测工具提供更多数据。两年后，随着威胁和威胁实施者的发展，我们需要分层分析，如：

               
• 关联，包括多个源、威胁数据和开箱即用检测用例。
               
• 机器学习包括用户、网络和资产的各种统计模型。
               
• 自动化，包括恶意软件或网络钓鱼的自动检测和响应工作流程和自动响应。

MITRE ATT&CK™

近年来，基于攻击者操作模式的模型，MITRE ATT&CK 框架实际上已经成为威胁检测框架。

团队需要有能力将任务（包括可视性和检测，以及调查和响应）映射到框架中。这可以帮助他们知道并防止攻击处于萌芽状态。活动攻击和进行攻击的具体化可以为威胁猎人和响应者提供背景信息，并帮助他们在研究威胁时采取更快、更自信的行动。

XDR

XDR 支持各种威胁检测和响应。Forrester Wave™ 的报告、终端检测和响应 (EDR) 结合其他工具的分析“高丰度遥测、快速调查和自动响应”。

去年年初，我们讨论了 SIEM 过去、现在和未来。我们研究的趋势之一是继续在用户、设备、网络、应用程序和云中采用基于行为的分析。在此基础上，我们认为 SIEM 的未来是开放的，需要通过工具的无缝合作来实现更具凝聚力的工作流。

基于 2021年展望未来的基础上，我们很高兴看到行业正在努力向开放安全、标准协议和跨系统的阅读和收集迈进这一新领域。在 的帮助下XDR，行业正朝着建立更广泛、更紧密联系的方向发展。

SIEM 一直在发展

很明显，选择一个了解市场需求的合作伙伴是非常重要的。

IBM Security 2020年第四季度已获得 Forrester Wave™ 安全分析领导者荣誉，在现有产品类别中得分最高。立即前往 2021新安全区，掌握最新安全技术趋势。

Forrester Wave™ 版权归 Forrester Research,Inc. 所有。Forrester 和 Forrester Wave 是 Forrester Research,Inc. 的商标。Forrester Wave 是 Forrester 用详细的电子表格(包括公开评分、权重和备注等)绘制市场访问研究的图形化表示。Forrester 不对 Forrester Wave 中提到的任何供应商、产品或服务都提供任何保证。基于最佳可用资源的信息。当时的判断可以随时改变。