传统 SIEM 解决方案面临的挑战

在当今云驱动、威胁密集的环境中，老旧的 SIEM 系统能撑多久？专家表示，保留这些系统可能不值得花费时间和金钱。

多年来，安全信息和事件管理 (SIEM)解决方案一直是网络安全中不可或缺的一部分，但随着数字环境变得越来越复杂，旧的 SIEM 系统对管理它们的安全专业人员提出了重大挑战。

如果您正在权衡更换旧 SIEM 系统的利弊，或者担心您的系统会老化，那么在您的系统变成一个麻烦之前，可能值得考虑不迁移到新解决方案的缺点。

传统 SIEM 通常难以处理日益增长的数据量并应对不断演变的网络威胁。维护这些系统的成本可能很高，而且可能无法与较新的安全工具顺利集成，从而导致效率低下。

旧版 SIEM 的一个主要缺点是它们可能无法处理云环境的动态扩展要求。他们可能难以掌握管理数据量或流量突然激增所需的弹性。

较旧的 SIEM 通常可扩展性和灵活性有限

为费城及其郊区部分地区提供服务的非营利性医疗系统 Main Line Health 的首席信息安全官 Aaron Weismann 认为，这些旧系统缺乏可扩展性和灵活性主要是由于成本问题而不是技术限制。

传统的闭源和开源解决方案巨头的表现可以达到他们的管理分析师团队所能达到的水平。我们发现自己面临着越来越大的挑战，因为摄取和计算成本远远超过了基础设施成本。

Forrester Research 首席分析师 Allie Mellen 表示，由于一些 SIEM 工具已经存在很长时间，它们经常会因为切换到云而产生的问题而难以处理大量数据。

许多 [SIEM 供应商] 在将功能移植到云端的过程中遇到了困难，但他们也面临着需要整合一系列收购产品的风险，而不是构建能够自然、原生地协同工作的工具，因此这会带来问题，尤其是对于那些必须在一系列不同工具之间切换的从业者来说。

维护更新旧式 SIEM 解决方案

专家表示，维护和更新传统 SIEM 解决方案可能因多种原因而具有挑战性，其中包括缺乏经验丰富的员工。

Gartner 首席分析师 Kevin Schmidt 表示：“这将取决于 SIEM，但一般来说，对于组织来说，找到经验丰富的人员来运行和维护一些较旧的传统 SIEM 变得越来越困难。”

找到维护较新 SIEM 的人员比较容易，但这些人往往价格昂贵。这对供应商来说也是一个挑战，因为他们必须维护和测试两套功能：一套用于 SaaS/云版本，另一套用于现有的本地版本。 

哈里斯堡科技大学网络安全与信息保证研究生项目负责人兼讲师 Bruce Young 表示，维护和更新传统 SIEM 解决方案是一项复杂、耗费资源且成本高昂的任务。

这些旧系统通常需要频繁的手动更新才能保持有效，包括保持最新的威胁特征和日志源格式。与现代 SIEM 不同，传统解决方案通常缺乏自动更新功能，迫使安全团队在补丁管理、系统调整和配置更改方面投入大量时间和精力。

这种手动维护不仅会消耗宝贵的资源，还会减慢响应时间并降低安全运营的整体效率，”他说。“组织必须确保存档数据仍然可访问并与系统升级兼容，这通常需要专门的流程和大量投资。

每次版本升级都会使数据迁移变得复杂，从而增加数据丢失或损坏的风险。“这些维护需求的累积影响使得组织难以有效扩展其安全运营，增加了财务压力和运营开销。

将旧版 SIEM 与其他安全工具集成

德勤会计师事务所网络防御和弹性董事总经理 Kevin Urbanowicz 表示，一个常见的问题是将传统 SIEM 系统与其他安全工具集成 - 而现代 SIEM 平台则不存在这个问题。

传统 SIEM 需要跨可能多样化的技术生态系统进行点对点集成，并且长期维护这种集成需要持续的工程努力。现代 SIEM 平台在设计时就已集成，通常来自同一家供应商，允许最终用户利用预先构建的集成，而无需对其工具进行大量定制设计。

BTE Partners 的首席信息安全官兼首席信息官苏·贝加莫 (Sue Bergamo) 表示，传统技术的一个主要问题是它们通常是完整且昂贵的套装。供应商不愿意将套件拆分开来，而去与可能具有更好功能的其他供应商进行集成。

Main Line Health 面临的主要挑战之一是能够轻松地获取数据并将其发送到其他系统。很难以下游平台可以干净利落地使用的方式提取和解析日志。

我们正在利用 Realm.Security 等技术，它创建了一个数据结构，在 SIEM 或其他工具/系统提取之前对信息进行规范化。这简化了我们处理大型数据集和路由使用它们的方式。

将传统 SIEM 与其他安全工具和系统集成起来很困难，因为它们并不总是兼容，而且经常使用过时的方法来共享数据。

许多传统 SIEM 缺乏对现代 API 的支持，需要定制连接器或中间件才能与新技术集成。开发和维护这些定制连接器既耗时又昂贵，增加了安全团队的运营负担。

与基于云的环境集成很麻烦

Alvarez & Marsal 争议和调查部门董事总经理 Rocco Grillo 表示，让传统的 SIEM 系统与云环境和新技术协同工作是一项挑战。

该公司全球网络风险和事件响应服务负责人 Grillo 表示：传统 SIEM 解决方案与设计繁琐的云原生环境以及新兴技术的兼容性和解析需要大量工程资源和经验的投入，以不断更新 SIEM 集成。

传统的 SIEM 在与基于云的环境和新兴技术（如容器、微服务和无服务器架构）集成时面临着很大的限制。

许多此类系统都是在云服务广泛采用之前开发的，没有配备必要的 API、连接器或本机支持，无法无缝地从现代云平台获取数据。这给实现跨混合和多云环境的全面可视性带来了挑战，导致攻击者可以利用盲点。

旧版 SIEM 难以跟上不断发展的网络威胁

组织在使用传统 SIEM 系统时面临的主要问题是它们产生大量非结构化数据，这使得很难发现勒索软件和高级持续威胁组等高级威胁的迹象。

这些系统主要是为了使用基于签名的方法来检测已知威胁，但这些方法不足以应对当今复杂且不断发展的攻击技术。现代威胁通常采用微妙的策略，需要高级分析、基于行为的检测和跨多个数据源的主动关联——而这些功能是许多传统 SIEM 所缺乏的。

此外，传统的 SIEM 系统通常不支持自动威胁情报馈送，而这对于领先于新兴威胁至关重要。它们还缺乏与安全编排、自动化和响应工具集成的能力，这些工具有助于自动化响应并简化事件管理。

缺乏这些现代功能，传统的 SIEM 往往会错过重要的攻击警告信号，并且难以连接不同的威胁信号，从而使组织更容易受到复杂的多阶段攻击。

SIEMS 的好坏取决于公司投入的努力，这是多年来她从众多从业者那里得到的主要反馈。

要从 SIEM 中获取价值需要做大量工作，因为你需要不断构建新的检测，以确保正确应对现代攻击。有些系统有现成的分析功能，可以帮助更好地检测威胁，但无论哪种方式，你仍然需要大量的手动工作来不断构建新的检测。