安全信息管理系统渴求实时安全(二)

日期: 2013-04-10 作者:Michael S. Mimoso翻译:杨帆 来源:TechTarget中国 英文

业界领先的SIM厂商如ArcSight(HP)公司、Sensage和Q1 Labs(IBM)公司正在讨论扩展他们产品在业务分析和数据中心方向的能力,以便提供大数据分析,特别是引入实时分析。安全分析师实质上承担着的大量数据不仅来自于网络安全设备,还有操作系统、应用、甚至是用户行为。Sensage公司的总裁兼CEO Joe Gottlieb表示他们公司的工具已经让组织可以从特殊来源提取安全数据到数据中心,后者对这些数据流的子集进行关联规则运算。   “这些数据都是五分钟以内的”,Gottlieb说到。

“实时性实际上是来源和新鲜数据的混合物。总而言之,这个行业需要控制对实时性的期望值。深度数据包检测……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

业界领先的SIM厂商如ArcSight(HP)公司、Sensage和Q1 Labs(IBM)公司正在讨论扩展他们产品在业务分析和数据中心方向的能力,以便提供大数据分析,特别是引入实时分析。安全分析师实质上承担着的大量数据不仅来自于网络安全设备,还有操作系统、应用、甚至是用户行为。Sensage公司的总裁兼CEO Joe Gottlieb表示他们公司的工具已经让组织可以从特殊来源提取安全数据到数据中心,后者对这些数据流的子集进行关联规则运算。

  “这些数据都是五分钟以内的”,Gottlieb说到。“实时性实际上是来源和新鲜数据的混合物。总而言之,这个行业需要控制对实时性的期望值。深度数据包检测技术为预防措施技术设置了基调,并且人们期望从SIM产品具有同样级别的情境意识,但事实上是不容易做到的。”

  数据过载威胁到SIM产品的实时安全分析能力

  明显的是,随着监控和报告技术越来越靠近实时分析,以及涉及到更多的数据来源,查询和处理事件以及维护阈值的复杂性也在不断增长。“如果过于雄心勃勃,可能会回到原点。公司都想进行实时分析,但是这需要平衡你的实际环境、以及对于你来说实时分析意味着什么,还有你想如何管理风险”,HP ArcSight公司的全球安全产品和解决方案市场总监Michael Callahan表示。

  ArcSight公司也在通过提高其SIM产品的分析和关联能力,朝着实时分析前进。Callahan表示客户们想要加强性能和扩展性——即对更多来源数据的更快地分析和关联能力,以及展现安全事件背景,和发生在IT中的事件的能力。

  “下一步是扩展它到整个组织中去,这可以让你有机会看待组织整体风险”,Callahan谈到。专家们劝诫企业需要缩减实时分析的范围,理解他们的环境,和攻击对IT基础设施中的各个组件来说意味着什么。

  “每个安全团队都淹没在数据中,另外一个与实时分析的问题是它数据以太多,以至于造成数据过载的情况”,Red Seal Networks公司的CEO Mike Lloyd说到。“企业已经淹没在太多的数据中,而部署产生更多数据的传感器不是前进的康庄大道。这使得人力投入随着数据水涨船高,以至于我们能采取的行动是艰难的,并且会导致另外一个实时性问题”。

  Red Seal公司的产品承诺通过映射安全产品间的交互,突出可能存在的脆弱的访问点,持续地提供对IT基础设施的可视性。Lloyd表示公司应该避免以预防或是取证能力为代价,对任何安全领域的过度投入、例如分析技术。

  “这是企业犯的一个巨大的错误”,Lloyd说。“你无法了解更高层次上的每一件事件”。Security Curve咨询公司的Kelley表示SIM产品需要为他们遭受攻击的客户提供更佳的规则集和智能。“SIM在取证分析和将事件拼接在一起十分强大,”Kelley表示。“并且它擅长于以近乎实时的方式对简单、不太复杂的问题发出告警。”

作者

Michael S. Mimoso
Michael S. Mimoso

TechTarget中国信息安全杂志(Information Security magazine)编辑

相关推荐