下一代SIEM产品会增加网络可视性 但平台必须具备扩展性

日期: 2011-11-17 作者:Robert Westervelt翻译:Odyssey 来源:TechTarget中国 英文

一直以来,企业使用安全信息和事件管理系统(SIEM)主要是为了满足PCI DSS和其它法规的合规报表要求。但是基础架构厂商们正在努力开发新的更为强大的SIEM平台,能让IT团队对系统数据进行分析。   Forrester Research公司(位于马萨诸塞州剑桥)首席分析师John Kindervag谈道,不断增长的网络为网络犯罪们创造了更为广泛的攻击面,早期部署的SIEM只能够从少部分的设备中收集日志,现在它们已经发展为支持大量的网络设备。Kindervag说,尽管厂商们把赌注压在了更为强健的SIEM平台上,但企业是否有资金和专业技术来做这种强大的事件关联(event correlation……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

一直以来,企业使用安全信息和事件管理系统(SIEM)主要是为了满足PCI DSS和其它法规的合规报表要求。但是基础架构厂商们正在努力开发新的更为强大的SIEM平台,能让IT团队对系统数据进行分析。

  Forrester Research公司(位于马萨诸塞州剑桥)首席分析师John Kindervag谈道,不断增长的网络为网络犯罪们创造了更为广泛的攻击面,早期部署的SIEM只能够从少部分的设备中收集日志,现在它们已经发展为支持大量的网络设备。Kindervag说,尽管厂商们把赌注压在了更为强健的SIEM平台上,但企业是否有资金和专业技术来做这种强大的事件关联(event correlation)从而理解网络上的威胁仍是个未知数。

  根据Forrester一项对157个组织IT决策者的调查,超过80%的SIEM产品部署主要是为了满足合规要求的生成报表的能力。少于40%的被访问者表示他们的组织使用该产品技术的事件关联能力。

  “SIM产品是由PCI合规要求所驱动的报表工具,如果没有PCI的出现,它根本不会存在” Kindervag说道,“人们被事件关联的概念所迷惑,但是在真实世界部署时它工作的情况却不是那样”。

  日志管理厂商LogLogic公司对San Jose市进行的调查发现,当前系统生成的报表主要服务对象是IT审计人员、CIO和其他C级别的主管(如CEO、 CFO、COO等)。但是调查报告推断SIM产品会成为用于全面深入分析IT数据的基石。

  Q1 Labs公司的CEO Brendan Hannigan确信公司的顾客想从他们的SIEM产品部署中得到更多的东西。Hannigan所在的公司最近刚被IBM收购,他将会领导一个新的部门来整合IBM所有的安全产品。有Q1公司的SIEM平台作为基础,IBM计划将它的数据库安全、终端管理、网络安全和应用安全产品捆绑在一起,并且用分析功能来加强它们,以从这些系统中得到更多可操作的数据。

  Hannigan表示,“在安全界有一个本质的变化正在发生,就是关注点从解决特定工作的单个产品转移到更为广阔的内容”。

  防火墙、IPS和数据库以及应用服务器产生的大量数据能帮助组织更好地理解他们的网络威胁,从而最终让CISO(首席信息安全官)们做出更为明智的安全决策。据分析师们看来,正是需要更为强劲的分析引擎来从所有这些数据中找出有价值的东西,才驱动了大型的基础设施厂商如IBM和HP获得SIEM系统。

  HP十分看好这项技术,因此在2010年花费15亿美元收购了算是这个领域的领先者——ArcSight公司。EMC公司的安全事业部、RSA公司正在将它的EnVision SIEM系统与它新收购的NetWitness公司的网络监控平台进行整合,为SIEM数据增添了网络背景和分析能力。

  分析师们同意许多早期的SIM厂商可能不具备对不同的数据来源进行分析所需的处理能力。Gartner公司的副总裁兼著名的分析师Mark Nicolett说道,可扩展性正在成为SIEM系统最为重要的能力之一。Nicolette表示,能够大规模地支持异构的事件来源的SIEM平台更能维持牢固的市场占有率。

  Gartner公司认为,SIEM系统应该能更为有效地收集日志并具备实时监控的能力。Nicolette说,“如果厂商不具备两者,他们终究会只能处在市场的边缘”。

  EMC公司的安全事业部,RSA公司的安全管理和合规业务部的高级副总裁兼总经理Amit Yoran说道,SIEM系统擅长于收集日志,但是他们需要工具来帮助分析师们用数据来揭示事故的各个方面、或是找到引起担忧的异常事件。

  “随着复杂攻击和高级威胁的出现,你当前的评估不能只限于你在这一刻所看到的流量”,Yoran说,“某个行为在隔离时看可能不会触发告警,但是当你在一定背景下看到它时,就会变得很有趣了”。

  Yoran谈到,NetWitness公司的前CEO正在监督将其产品集成到RSA的SIEM平台EnVision中,将在有效地保存大量数据、理解多种多样的日志格式和协议方面大放异彩。同时,Yoran表示他认为对于组织来说,SIEM系统成为强大的工具是切合实际的。

  “我不认为那些只能收集所有与安全分析相关的关键信息的单个数据仓库会继续存在下去”,Yoran说,“但这个一应俱全的大家伙对于大型的企业来说,运作起来似乎不太可行”。

  企业可能开始只记得满足合规要求,但是如果当在两个产品中进行选择时,一个是只在日志管理方面强大的SIEM系统,一个是设计用来日志管理且能实时监控的系统,大多数的组织会看到监控的价值,除非在价格方面有巨大的差异。Nicollete谈到,他正在密切地观察HP ArcSight公司,因为HP保留了ArcSight的核心开发团队,能让该SIEM厂商快速用新功能迎合市场。他认为,在HP公司的支持下,ArcSight公司在支持大规模部署方面表现得更为出色。

  HP公司安全部门的副总裁、即ArcSight公司的原CEO Tom Reilly谈到,SIEM产品应该是企业安全方案的集成化平台。就像RSA和IBM公司那样,HP也正在开发工具,通过慢慢地融合ArcSight的SIEM平台的分析能力,让企业更好地审视网络中的威胁。他表示这一切都与网络识别(network awareness)有关。

  “如果你相信每个公司都必须转向获得安全的可视性,那他们都需要在SIM产品上投入”,Reilly说。“我听到关于复杂性和费用的这些抱怨,但是我听到更多成功实施的案例,与其抱怨,现在更适合来重视集成化并为其预热,以及易于使用”。

  Reilly说HP公司正在致力于让IPS与日志收集成为开箱即用(out-of-the-box)的用户体验,目标是瞄准那些只有有限IT职员和经验的公司,通过提供用于集成的预置接口。

  McAfee公司的风险与合规高级主管Martin Ward说道,为了拥有开箱即用的能力,McAfee公司本月收购了NitroSecurity公司,并且开始将NitroView系列产品融合到ePolicy Orchestrator 套件当中。McAfee公司和NitroSecurity公司一直有着密切的联系,McAfee看中了它的私有数据库,其能提供关联和剖析能力,这与其它SIEM厂商相比,是非常强大的能力。

  “NitroSecurity的速度是顶尖的”,Ward说,“现有的SIEM厂商需要花费数个小时运行的报表, Nitro在几分钟内就能做到”。

  Forrester公司的Kindervag说道,SIM产品的未来似乎是带有强力分析工具的数据仓库技术(data warehousing technology),能帮助IT团队“嚼碎”海量的数据。

  “真正的以事实,而不是推测为依据做出更好的决策”,Kindervag说道,“如果IT部门能从他们的系统得到可操作的数据并且使用好它,我们可以展望更多与业务层面保持一致的决策,并基于风险影响来解决威胁”。

相关推荐

  • Azure Sentinel增加AI驱动SIEM以加强云安全

    微软确信其最新的公共云工具将提升其Azure云平台的安全性,并可赶超竞争对手,例如AWS和谷歌。 微软的新工具 […]

  • PCI内部安全评估员能否验证1级商家?

    我知道PCI内部安全评估员(ISA)可签署商家合规报告(ROC),但ISA可以验证1级商家同时也是服务提供商的合规性吗?如果不可以,应该如何处理这种情况?

  • 大数据对企业安全的意义

    为了应对日益复杂的攻击,企业开始向大数据架构寻求依托,将其用于安全系统中,那么,这些方法是否足够安全,足以让企业安全人员高枕无忧了呢?

  • 云时代:“SIEM即服务”,你怎么看?

    向云服务的迁移给试图应对海量数据的企业带来不少挑战。而新出现的“SIEM即服务”的出现展示出,云安全领域是动态变化的,而且在此领域更为有趣的许多发展都有望在未来几年崭露头角。