在有限的预算内,改进安全技术的最好办法是什么?我们想要更新一些较老的技术,并转移到SIEM(安全信息事件管理)或者其他威胁数据关联产品,但面对紧张的IT安全预算,这很难实现。我们也有考虑一些开源产品,那么,在使用免费和开源安全工具与购买商业安全产品之间,如何作出最佳选择呢?
从来没有信息安全团队告诉我,他们得到了他们想要的预算。现在,大家似乎都谨遵“少花钱多办事”的宗旨。所幸的是,当你的预算很紧张时,有很多可行的开源工具可用来替换商业工具。对于选择商业产品还是开源工具,并没有经过检验证明的可靠办法。需要记住一些事情。:
开源安全工具通常只能在技术上与商业产品“媲美”。主要的区别是配置和升级的简便性。开源工具有着陡峭的学习曲线,并且变化很快,而商业工具有用户友好型配置界面,并提供服务支持。
如果你的安全团队缺乏配置和维护开源工具所需的技能,考虑使用商业工具。另外,在高风险环境中,我也建议使用商业工具,因为这种环境中支持和正常运行时间非常关键,除非你的安全团队能够提供相同的支持水平,否则应该使用商业工具。我通常混合使用商业工具和开源工具来加强我的防御,这不仅提供了纵深防御(攻击者必须渗透多个防御层),还允许我的团队在低风险环境中学习开源工具。
在你的开源安全工具候选名单中,应该考虑添加这些出色的开源工具:OSSIM是最受欢迎开源SIEM之一,它也是很成熟的工具。追溯到2003年,它支持几乎任何网络设备的日志格式,并能够与开源IDS和漏洞评估工具很好地集成。它还提供一个升级路径,如果你需要更多支持的话,你可以将其升级到商业版本。如果你没有时间配置像OOSIM这么复杂的工具,Security Onion是另一个不错的工具,Security Onion是基于Ubuntu的Linux发行版,包含构建分布式IDS/IPS传感器网络(流入中央数据库)所需的一切。虽然它不能从现有网络设备中导入日志,但它是使用开源或者专有工具构建中央警告系统的最快的工具。
