淘汰還是加強落后的SIEM系統(tǒng)? |
發(fā)布時間: 2012/8/20 17:38:17 |
據(jù)專家介紹,部署著老舊的安全信息和事件管理(Security Information Event Management,以下簡稱SIEM)系統(tǒng)的企業(yè)正重新審視他們的硬件,有時候他們在想到底是用額外的工具來完善SIEM系統(tǒng),還是完全替換成新的系統(tǒng)。 通信服務(wù)提供商MetroPCS Wireless公司的Gregg Woodcock發(fā)現(xiàn),日志相關(guān)性分析是運營高效安全業(yè)務(wù)必不可少的一部分。 實際上,這位來自達拉斯的軟件工程師發(fā)現(xiàn)了日志相關(guān)性分析的巨大價值。他成立并維護了一個位于達拉斯的用戶群組,致力于完善免費、開源的搜索工具Splunk。這款工具可以接收客戶交易、網(wǎng)絡(luò)活動、通話數(shù)據(jù)等多種類型的數(shù)據(jù),并對它們作關(guān)聯(lián)性分析,以發(fā)現(xiàn)有價值的情報。據(jù)Woodcock表示,這款工具非常受歡迎,雖然Splunk用戶群組內(nèi)的很多成員所在的企業(yè)都安裝了安全信息和事件管理(SIEM)系統(tǒng),但他們也希望把Splunk當(dāng)作類似Google的搜索框來加強SIEM。 MetroPCS使用Splunk來監(jiān)控違反免費國際電話呼叫計劃服務(wù)條款的用戶。Woodcock表示,用戶立即就能知道通話去向和費用。人們違反服務(wù)條款——將免費國際呼叫用于商業(yè)的行為很快就能從呼叫記錄數(shù)據(jù)中被檢測出來,并在費用失控之前切斷通話。 “它的速度和提供信息的深度令人驚奇,”Woodcock說。“它本質(zhì)上是Google你的日志;它實時接受日志并標(biāo)出時間戳,然后你可以使用類似Unix的搜索命令集做任何事情。” Splunk在2010年增加了對安全監(jiān)控的支持。它也可以產(chǎn)生實時警報。Woodcock說,它正被成千上萬的人用來增強已有SIEM系統(tǒng),這一事實表明,很多早期部署的SIEM系統(tǒng)要么很難正確配置,要么很難給出有價值的情報。“有了Splunk,你可以輸入所有數(shù)據(jù),在上面采用只對你有用的特定模式進行排序和搜索,這就是一個巨變,”他說。“而其他很多產(chǎn)品,你必須作二次開發(fā)才能得到可用的數(shù)據(jù)模式。” Bill Sielein是CISO Executive Network公司的CEO,他說,目前大部分SIEM系統(tǒng)只是用來滿足合規(guī)和提供報告功能,而且很多系統(tǒng)還繼續(xù)被部署來滿足這最小用例。Sieglein最近參加了財富1000強企業(yè)CISO圓桌會議,內(nèi)容包括日志管理和SIEM。他說很多CISO正在考慮是否要用更新的SIEM技術(shù)淘汰老舊的SIEM系統(tǒng),以建立一個情報平臺。 “幾乎在每一個案例中,安裝啟用新系統(tǒng)所花的時間和經(jīng)費都超過預(yù)想,”Sieglein說。“他們正努力更新繼續(xù)許可證,以在風(fēng)險管理和情境認(rèn)識方面發(fā)掘更大價值。” Sieglein說,早期的SIEM系統(tǒng)非常難于部署,在某些情況下要花費兩到三年時間,還要耗費四分之三的經(jīng)費用于協(xié)助部署的專業(yè)服務(wù)。今天,人們更多地考慮輕量級系統(tǒng)——來自McAfee(NitroSecurity)、IBM(Q1 Labs)以及LogRhythm的SIEM平臺,這些系統(tǒng)承諾了更快的實現(xiàn)和更多易用的自動化功能。 他說,實際投入過SIEM的企業(yè)都體驗過歷程的艱辛。企業(yè)一旦希望審閱好日志,就不僅要雇傭大量員工從事事件監(jiān)控,還要雇人管理系統(tǒng)以防止被數(shù)據(jù)淹沒。系統(tǒng)必須要完全打好補丁,還需要一些明白如何編寫專業(yè)報告的人,以實現(xiàn)系統(tǒng)的價值。 “很多人抱怨,從系統(tǒng)的角度看,SIEM 1.0需要太多管理人員,”Sieglein說。“它使資源不能集中于實時觀察事件。”現(xiàn)在SIEM 2.0承諾了更快的實現(xiàn)、少得多的系統(tǒng)管理,使資源和時間能被集中用于分析警報類型并采取實際行動。“ Chris Petersen是LogRhythm公司的聯(lián)合創(chuàng)始人和CTO,他也同意部署和維護早期的SIEM系統(tǒng)是一個惡夢,而且這些系統(tǒng)經(jīng)常為了滿足特定的合規(guī)要求而運行在一個糟糕的配置狀態(tài)。 Petersen說,SIEM最初被設(shè)計用來處理入侵檢測系統(tǒng)生成的大批量數(shù)據(jù),將IDS數(shù)據(jù)裁減到可行的、更容易管理的規(guī)模。SIEM廠商不斷增加來自網(wǎng)絡(luò)層、設(shè)備層、應(yīng)用層和數(shù)據(jù)庫層的日志數(shù)據(jù),使它越來越復(fù)雜。現(xiàn)在的焦點是更好地管理數(shù)據(jù)來源和自動化分析。”今天的目標(biāo)是檢測更廣泛的來自內(nèi)部威脅的事件類型、復(fù)雜的入侵、和深嵌型泄露,以更好地取證。SIEM廠商已經(jīng)認(rèn)識到寄望于企業(yè)手動分析日志是不可能的。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |