企业正在寻求更好的安全信息和事件管理(SIEM)工具,他们不需要更多技术,而需要能够快速启用和可用的系统。下一代安全信息和事件管理(SIEM)系统将会包含很多新功能,但安全公司目前仍然在努力帮助客户解决在管理和运行现有产品时遇到的问题。
虽然SIEM系统已经存在超过十年,但在部署和维护这些系统方面,企业仍然遇到很多问题。根据安全管理公司EiO Networks调查显示,超过半数的企业至少需要两位全职分析师来运行这个系统,而44%的企业需要数周来部署其SIEM系统。
IT管理公司SolarWinds产品管理主管Nicole Pauls表示,这些问题让我们意识到,SIEM在未来最重要的功能就是易用性。她表示,“我们正在努力适应不断变化的威胁环境,这并不需要我们集合新工具,我们真正需要的是改进这些工具,让我们可以更快地适应威胁环境。”
安全专家建议,企业应该连续监测他们的网络,以获得更好的可视性,了解潜在的威胁,因此,现在越来越多的企业都在考虑SIEM系统或者已经开始进行网络监控项目。根据Ponemon研究所的网络犯罪成本调查显示,安全情报系统继续成为减少安全泄露事故的首位战略,涉及减少400万成本。
然而,SIEM部署却是很困难,整合不同数据来源需要内行的安全分析师,而且需要企业的所有利益相关者合作,鉴于这两点,很多SIEM项目一直停滞不前。Gartner商业智能网络安全副总裁Mark Nicolett表示,供应商通常拖延易于部署的营销产品,而不是坦诚地讨论部署分析缓解的困难。
如果部署不会变得更加简单,增加更多功能也无济于事,如果下一代产品没有变得更加可用,那么没有人会在乎。虽然大多数安全智能产品制造商可能不会改变其产品线,但企业高管知道他们必须解决其SIEM产品曲折的学习曲线,否则将会落后于市场。
她表示,“SIEM仍然有很多尚未实现的愿景,例如行为分析和更好的事件关联,我们需要为客户提供更好的分析。”
为了提供更好的分析, SIEM供应商和服务提供商的目标是让企业能够轻松地将更多的数据、威胁情报和其它信息整合到到SIEM系统。然而,这些产品还需要考虑数据的内容以及企业面临的风险。安全管理服务供应商Eio Networks总裁兼***执行官Vijay Basani表示:“我们可以收集大量数据,并产生很多数据,但我们不知道对于你的企业而言,哪些数据是重要的。我认为这将会发生显著变化。采用***做法将帮助企业专注于正确的问题上。”
整合更多数据到未来SIEM产品的做法的很大一部分需要结合具有威胁情报的设备和服务。很多供应商已经推出了威胁信息共享中心和论坛,安全专家可以一起交流分析。AlienVault提供Open Threat Exchange,CyberSquared开发了Threat Connect,而惠普最近推出了Threat Central。这些服务结合了恶意软件分析和开源智能工具与社交网络和众包分析来创建一个虚拟空间,以了解***的安全威胁。
惠普企业安全产品营销主管Eric Schou表示,众包模式将会可行,因为它为每个参与者提供了更多价值。
然而,众包模式和大量威胁数据可能不会提高SIEM的有效性,Gartner的Nicolett表示,更多的数据并不一定是一件好事,如果你不能正确地分析这些数据。他表示,“我们的问题并不是缺少数据,我们缺少的是分析这些数据的智能化。”如果下一代产品可以提供智能和实用性的结合体,企业才能够获益。