“这是个复杂的问题,从来没有完美的解决方案;”Petersen说。“我们今天有比以往更多的信息。如果我们能通过不同的技术手段正确地、创造性地分析它。我们将人工智能嵌入系统以指导客户着重调查,并有快速得到解决方案和行动步骤的深入经验。”
已故的著名网络安全专家Eugene Schultz在2009年就发出警告,SIEM厂商需要解决安装SIEM系统的复杂性。Schultz是SIEM技术优越性的铁杆信徒,他说”再优秀的技术也可能买不出去。”大部分SIEM产品在初装后需要数月时间调校,他写了一篇博文阐述为什么SIEM市场不能更上一层楼。”一款热销的的SIEM工具竟然要求使用网络上4台独立主机用于安装和维护,而且一些最基本的功能也需要遍历很多级别的菜单。排除SIEM工具的故障通常也并不容易,“他写道。
美国人口普查局信息安全技术办公室的助理司长Bill Bradd说,现在考虑广泛部署SIEM系统的企业需要有对SIEM产品实施稳定性测试和评估的能力。这不仅是技术上的投资,也要求系统维护和监控人员有足够高的素养。
从大约5年前为了遵从法规而采集近150个系统的信息,到现在作为一个更广阔的信息安全战略的一部分而采集超过2800台网络设备和服务器信息,美国人口普查局已经大大扩展了它的Sensage SIEM系统的能力。Bradd说,这意味着采购新硬件以处理大规模日志数据、与各种系统的管理员合作以将数据输入SIEM系统、组织一个开发团队负责编写脚本以接受和解析各种各样的系统日志。这个SIEM系统可以审记来自Unix、Linux服务器、Windows事件日志、网络防火墙、路由器、交换机等系统的日志数据。
“数据的体积始终是个问题,”Bradd说调校这个很麻烦,但人口普查局已经成功解决了。”如果你知道应用程序将产生特定的警报,那调校好这个并不难。”
Bradd说人口普查局也计划将警报发送给系统管理员,以便负责维护路由器和交换机的网络工程师可以调查一个警报,并在72小时内反馈这究竟是一个可在内部纠正的事件还是一个需要报告和仔细调查的严重安全问题。Bradd说,这个外置系统已经被用于查找配置错误问题、检测被恶意软件感染的机器、以及跟踪返回到用户访问站点的恶意代码。从服务器的角度看,人口普查局的系统通过监控独立的用户行为,可以判断是攻击者在暴力破解某位员工的账号,还是某位员工忘记了自己的密码。
“为了从工具中得到价值,你必须在人们身上投入时间、金钱、以及精力,”Bradd说道。
有迹象表明,厂商已经在较早版本中解决了部分问题。有一家加拿大的公司在2011年2月部署了更新的LogRhythm系统,过程相当顺利。这家名叫Cara Operations的公司运营了650个餐馆,其中大部分是直营和特许经营的。它部署了SIEM系统用于监控支付系统,以合乎PCI DSS规范。Cara公司的信息技术项目经理Rik Steven说,“我们知道它比PCI合规走得更远,但PCI是推动它前进的背后力量。”
这家公司使用可管理的安全服务提供商(managed security services provider,简称MSSP)来监控系统并处理警报。MSSP全天监控着系统,而Cara公司的一名IT专员则作为在内部监控系统的风险分析师。各家餐馆跨越5个时区,因此非常有必要使用这个MSSP,Steven说。
一个团队用了大约两个月铺开这个系统,在公司的各个地方部署了软件。Steven说,起初的几个月信息太多了,公司必须不断调校以“回拨”并只集中于合规内容。“它给出太多信息,你很容易就被淹没了,”Steven说。
Steven说,“他们计划加班扩展这个系统,以生成更多报告、使用更新的功能来主动解决已识别的问题。这已经是一笔巨大的投资,所以我们希望确保这钱花得值,”Steven说。“它可以告诉我们一大堆的信息,但我们只是获得了它从基本报告中产生的粗浅信息。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
Azure Sentinel增加AI驱动SIEM以加强云安全
微软确信其最新的公共云工具将提升其Azure云平台的安全性,并可赶超竞争对手,例如AWS和谷歌。 微软的新工具 […]
-
云时代:“SIEM即服务”,你怎么看?
向云服务的迁移给试图应对海量数据的企业带来不少挑战。而新出现的“SIEM即服务”的出现展示出,云安全领域是动态变化的,而且在此领域更为有趣的许多发展都有望在未来几年崭露头角。
-
SIEM功能如何用于实时分析?
很多企业主要依靠安全信息和事件管理技术(SIEM)来生成周期性、集中的安全报告,这些报告用于合规性目的以及对攻击事件事后检测及调查。不过,大多数SIEM平台其实还能够执行实时分析……
-
QRadar SIEM:以安全智能保护企业资产和信息远离高级威胁
IBM Security QRadar SIEM 可整合在网络各处分散的数千个设备、终端和应用中的日志源事件数据。它对原始数据执行直接的标准化和关联化活动,以区分实际威胁和错误判断。