一直以来,企业使用安全信息和事件管理系统(SIEM)主要是为了满足PCI DSS和其它法规的合规报表要求。但是基础架构厂商们正在努力开发新的更为强大的SIEM平台,能让IT团队对系统数据进行分析。
Forrester Research公司(位于马萨诸塞州剑桥)首席分析师John Kindervag谈道,不断增长的网络为网络犯罪们创造了更为广泛的攻击面,早期部署的SIEM只能够从少部分的设备中收集日志,现在它们已经发展为支持大量的网络设备。Kindervag说,尽管厂商们把赌注压在了更为强健的SIEM平台上,但企业是否有资金和专业技术来做这种强大的事件关联(event correlation)从而理解网络上的威胁仍是个未知数。
根据Forrester一项对157个组织IT决策者的调查,超过80%的SIEM产品部署主要是为了满足合规要求的生成报表的能力。少于40%的被访问者表示他们的组织使用该产品技术的事件关联能力。
“SIM产品是由PCI合规要求所驱动的报表工具,如果没有PCI的出现,它根本不会存在” Kindervag说道,“人们被事件关联的概念所迷惑,但是在真实世界部署时它工作的情况却不是那样”。
日志管理厂商LogLogic公司对San Jose市进行的调查发现,当前系统生成的报表主要服务对象是IT审计人员、CIO和其他C级别的主管(如CEO、 CFO、COO等)。但是调查报告推断SIM产品会成为用于全面深入分析IT数据的基石。
Q1 Labs公司的CEO Brendan Hannigan确信公司的顾客想从他们的SIEM产品部署中得到更多的东西。Hannigan所在的公司最近刚被IBM收购,他将会领导一个新的部门来整合IBM所有的安全产品。有Q1公司的SIEM平台作为基础,IBM计划将它的数据库安全、终端管理、网络安全和应用安全产品捆绑在一起,并且用分析功能来加强它们,以从这些系统中得到更多可操作的数据。
Hannigan表示,“在安全界有一个本质的变化正在发生,就是关注点从解决特定工作的单个产品转移到更为广阔的内容”。
防火墙、IPS和数据库以及应用服务器产生的大量数据能帮助组织更好地理解他们的网络威胁,从而最终让CISO(首席信息安全官)们做出更为明智的安全决策。据分析师们看来,正是需要更为强劲的分析引擎来从所有这些数据中找出有价值的东西,才驱动了大型的基础设施厂商如IBM和HP获得SIEM系统。
HP十分看好这项技术,因此在2010年花费15亿美元收购了算是这个领域的领先者——ArcSight公司。EMC公司的安全事业部、RSA公司正在将它的EnVision SIEM系统与它新收购的NetWitness公司的网络监控平台进行整合,为SIEM数据增添了网络背景和分析能力。
分析师们同意许多早期的SIM厂商可能不具备对不同的数据来源进行分析所需的处理能力。Gartner公司的副总裁兼著名的分析师Mark Nicolett说道,可扩展性正在成为SIEM系统最为重要的能力之一。Nicolette表示,能够大规模地支持异构的事件来源的SIEM平台更能维持牢固的市场占有率。
Gartner公司认为,SIEM系统应该能更为有效地收集日志并具备实时监控的能力。Nicolette说,“如果厂商不具备两者,他们终究会只能处在市场的边缘”。
EMC公司的安全事业部,RSA公司的安全管理和合规业务部的高级副总裁兼总经理Amit Yoran说道,SIEM系统擅长于收集日志,但是他们需要工具来帮助分析师们用数据来揭示事故的各个方面、或是找到引起担忧的异常事件。
“随着复杂攻击和高级威胁的出现,你当前的评估不能只限于你在这一刻所看到的流量”,Yoran说,“某个行为在隔离时看可能不会触发告警,但是当你在一定背景下看到它时,就会变得很有趣了”。
Yoran谈到,NetWitness公司的前CEO正在监督将其产品集成到RSA的SIEM平台EnVision中,将在有效地保存大量数据、理解多种多样的日志格式和协议方面大放异彩。同时,Yoran表示他认为对于组织来说,SIEM系统成为强大的工具是切合实际的。
“我不认为那些只能收集所有与安全分析相关的关键信息的单个数据仓库会继续存在下去”,Yoran说,“但这个一应俱全的大家伙对于大型的企业来说,运作起来似乎不太可行”。
企业可能开始只记得满足合规要求,但是如果当在两个产品中进行选择时,一个是只在日志管理方面强大的SIEM系统,一个是设计用来日志管理且能实时监控的系统,大多数的组织会看到监控的价值,除非在价格方面有巨大的差异。Nicollete谈到,他正在密切地观察HP ArcSight公司,因为HP保留了ArcSight的核心开发团队,能让该SIEM厂商快速用新功能迎合市场。他认为,在HP公司的支持下,ArcSight公司在支持大规模部署方面表现得更为出色。
HP公司安全部门的副总裁、即ArcSight公司的原CEO Tom Reilly谈到,SIEM产品应该是企业安全方案的集成化平台。就像RSA和IBM公司那样,HP也正在开发工具,通过慢慢地融合ArcSight的SIEM平台的分析能力,让企业更好地审视网络中的威胁。他表示这一切都与网络识别(network awareness)有关。
“如果你相信每个公司都必须转向获得安全的可视性,那他们都需要在SIM产品上投入”,Reilly说。“我听到关于复杂性和费用的这些抱怨,但是我听到更多成功实施的案例,与其抱怨,现在更适合来重视集成化并为其预热,以及易于使用”。
Reilly说HP公司正在致力于让IPS与日志收集成为开箱即用(out-of-the-box)的用户体验,目标是瞄准那些只有有限IT职员和经验的公司,通过提供用于集成的预置接口。
McAfee公司的风险与合规高级主管Martin Ward说道,为了拥有开箱即用的能力,McAfee公司本月收购了NitroSecurity公司,并且开始将NitroView系列产品融合到ePolicy Orchestrator 套件当中。McAfee公司和NitroSecurity公司一直有着密切的联系,McAfee看中了它的私有数据库,其能提供关联和剖析能力,这与其它SIEM厂商相比,是非常强大的能力。
“NitroSecurity的速度是顶尖的”,Ward说,“现有的SIEM厂商需要花费数个小时运行的报表, Nitro在几分钟内就能做到”。
Forrester公司的Kindervag说道,SIM产品的未来似乎是带有强力分析工具的数据仓库技术(data warehousing technology),能帮助IT团队“嚼碎”海量的数据。
“真正的以事实,而不是推测为依据做出更好的决策”,Kindervag说道,“如果IT部门能从他们的系统得到可操作的数据并且使用好它,我们可以展望更多与业务层面保持一致的决策,并基于风险影响来解决威胁”。
【编辑推荐】