公共部门安全：实施现代 SIEM 的 4 个考虑因素

对于公共部门组织而言，确保安全是首要任务。现代 SIEM 平台是确保数据和系统安全的最佳方法之一，许多政府部门和教育机构都将这个平台作为实现零信任网络安全架构的关键部分。

SIEM 技术和策略在不断变化，要跟上最新的更新和要求颇具挑战。无论您是刚接触 SIEM，还是在考虑增强当前的 SIEM，以下是公共部门需要注意的一些事项。

回到基本知识：什么是 SIEM？

不妨向那些还不太熟悉的用户简要介绍一下，SIEM（信息安全和事件管理）是一个安全管理系统，通过全面观测多个来源中的数据来检测问题并采取行动。SIEM 技术集 SIM（信息安全管理）和 SEM（事件安全管理）于一体，将日志记录作为其功能的核心。

根据组织的规模大小和业务范围，您可能已经实施 SIEM，或者需要对原有的 SIEM 重新进行评估；全球 47% 的公共部门组织表示他们将替换或增强现有的 SIEM。

据《FedTech 杂志》报道，由于遵循美国国家标准技术研究所 (NIST) 提供的指导意见和更新的日志记录要求，美国联邦机构越来越多地采用先进的 SIEM 技术。在英国，SIEM 功能极其重要，以至于英国国家网络安全中心 (NCSC) 特地发布了相关指导意见，说明了组织如何为实现网络安全构建基础的日志记录功能（这是在实施 SIEM 前的第一步），并指出日志记录“在检测和抓获网络攻击者方面起着关键性作用”。

为什么 SIEM 现在对公共部门如此重要？ 

网络威胁越来越猖獗，而且越来越有针对性。根据《网络犯罪》(Cybercrime Magazine) 杂志的数据，到 2025 年，网络犯罪预计将以每年 15% 的速度增长。一次数据泄露事件的全球平均成本为 435 万美元，在美国这一数字更高，为 944 万美元。公共部门仍然是网络犯罪的主要目标，因为它会使用健康记录、公民身份证等高度敏感的数据。在全球范围内，教育部门遭受的网络攻击次数最多，其次是政府部门。

SIEM 可以随着数据的成倍增加而扩展。如今，重点围绕“PB 级”一词的数据对话并不少见。 数据使用量肯定不会很快减少。SIEM 技术可以聚集来自任何来源的所有这些信息，以便 IT 团队能够实时发现异常情况，并在威胁开始渗透到您的组织或影响您的选民之前主动阻止威胁。数据有多种形式（如结构化和非结构化），而能够同时快速筛选两种类型数据的 SIEM 则更显弥足珍贵。

SIEM 减少了 IT 和安全团队所用的工具。公共部门团队正在与私营部门组织抢夺 IT 和安全方面的人才，但屡屡失败。由于缺乏资源，团队仅凭自身能力无法完成庞大的数据挖掘工作，因此除了要能够在单个视图中进行聚合以外，实现自动化和大规模数据整合也是绝对有必要的。此外，基于云的解决方案提供的 SIEM 工具的价格也在小型机构和组织的承受范围内，这些机构和组织以前可能没有本地方案所需的资源。

SIEM 使团队能够快速做出任务关键型决策。借助一体化的单一代理，您可以深化主机可见性，阻止勒索软件和恶意软件，精简检查过程并调用远程响应操作。这在分秒必争的网络安全环境中至关重要，因为数据的来源或流向可能是战场等关键环境。

要在公共部门中成功实施 SIEM 需要考虑哪些事项？

在选择 SIEM 解决方案时，有许多需要注意的事项，例如添加数据源的频率、团队规模以及当前流程的工作方式。除了较为常见的因素，特别是对公共部门而言，我们建议牢记以下几点： 

1) 搜索过去日志的能力 

这几年的指令（如美国的 M-21-31 备忘录）侧重于调查长驻留时间攻击的实际情况的能力，并要求各机构延长日志的保留时间（以 M-21-31 为例，全包捕获数据保留 72 小时，主动存储保留 12 个月，冷存储数据保留 18 个月）。这些要求的期限比以前规定的要长得多，因此在寻找合适的 SIEM 解决方案时，应优先考虑这些要求。许多旧版 SIEM 解决方案只保留 30 天的数据，并强制将更早的数据转移到冷存储中，这样管理起来既昂贵又麻烦。

2) 快速实现规模化 

组织的数据使用量增加，这是无可避免的，但不能以速度为代价。当涉及任务关键型数据时，每一毫秒都很重要。您不仅要结合当前使用的数据源考虑 SIEM 解决方案现在的速度有多快，还要预测未来可能消耗的数据量，以及速度是否会受到增长的影响。此外，如果您无法快速搜索这些数据，您的机构就是在浪费团队资源。大多数公共部门安全团队都无暇将归档数据还原到 SIEM 解决方案中。在这种情况下，拥有一个可搜索的冻结层就很有必要了。

3) 日志存储要求和成本 

务必仔细查看 SIEM 提供商的收费方式。许多旧版 SIEM 平台的许可费用是按您每天使用的存储量收取。近年出台的网络安全规定使得许多公共部门机构的日志采集量大幅增加，这种定价模式将很快变得难以管理。务必寻找可随组织扩展的灵活解决方案。

4) 本地或者云端皆可 

了解解决方案提供商在云端和本地部署方面可实现多大的灵活性非常重要。某些 SIEM 解决方案仅在云上可用，对于需要本地解决方案或至少有这个选项的公共部门组织来说，这可能是导致交易告吹的原因。如果您对云感兴趣，请确保任何基于云的 SIEM 解决方案都符合任何相关的政府合规性要求和法规，例如 FedRAMP。 

了解有关在公共部门实施 SIEM 的更多信息

• 请查看这份检查清单“你需要增强 SIEM 的 5 个迹象”
• 下载 SIEM 买家指南