在有限的预算内，改进安全技术的最好办法是什么？我们想要更新一些较老的技术，并转移到SIEM（安全信息事件管理）或者其他威胁数据关联产品，但面对紧张的IT安全预算，这很难实现。我们也有考虑一些开源产品，那么，在使用免费和开源安全工具与购买商业安全产品之间，如何作出最佳选择呢？

　　从来没有信息安全团队告诉我，他们得到了他们想要的预算。现在，大家似乎都谨遵“少花钱多办事”的宗旨。所幸的是，当你的预算很紧张时，有很多可行的开源工具可用来替换商业工具。对于选择商业产品还是开源工具，并没有经过检验证明的可靠办法。需要记住一些事情。：

　　开源安全工具通常只能在技术上与商业产品“媲美”。主要的区别是配置和升级的简便性。开源工具有着陡峭的学习曲线，并且变化很快，而商业工具有用户友好型配置界面，并提供服务支持。

　　如果你的安全团队缺乏配置和维护开源工具所需的技能，考虑使用商业工具。另外，在高风险环境中，我也建议使用商业工具，因为这种环境中支持和正常运行时间非常关键，除非你的安全团队能够提供相同的支持水平，否则应该使用商业工具。我通常混合使用商业工具和开源工具来加强我的防御，这不仅提供了纵深防御（攻击者必须渗透多个防御层），还允许我的团队在低风险环境中学习开源工具。

　　在你的开源安全工具候选名单中，应该考虑添加这些出色的开源工具：OSSIM是最受欢迎开源SIEM之一，它也是很成熟的工具。追溯到2003年，它支持几乎任何网络设备的日志格式，并能够与开源IDS和漏洞评估工具很好地集成。它还提供一个升级路径，如果你需要更多支持的话，你可以将其升级到商业版本。如果你没有时间配置像OOSIM这么复杂的工具，Security Onion是另一个不错的工具，Security Onion是基于Ubuntu的Linux发行版，包含构建分布式IDS/IPS传感器网络（流入中央数据库）所需的一切。虽然它不能从现有网络设备中导入日志，但它是使用开源或者专有工具构建中央警告系统的最快的工具。