一直以來，企業(yè)使用安全信息和事件管理系統(tǒng)（SIEM）主要是為了滿足PCI DSS和其它法規(guī)的合規(guī)報(bào)表要求。但是基礎(chǔ)架構(gòu)廠商們正在努力開發(fā)新的更為強(qiáng)大的SIEM平臺，能讓IT團(tuán)隊(duì)對系統(tǒng)數(shù)據(jù)進(jìn)行分析。

Forrester Research公司（位于馬薩諸塞州劍橋）首席分析師John Kindervag談道，不斷增長的網(wǎng)絡(luò)為網(wǎng)絡(luò)犯罪們創(chuàng)造了更為廣泛的攻擊面，早期部署的SIEM只能夠從少部分的設(shè)備中收集日志，現(xiàn)在它們已經(jīng)發(fā)展為支持大量的網(wǎng)絡(luò)設(shè)備。Kindervag說，盡管廠商們把賭注壓在了更為強(qiáng)健的SIEM平臺上，但企業(yè)是否有資金和專業(yè)技術(shù)來做這種強(qiáng)大的事件關(guān)聯(lián)（event correlation）從而理解網(wǎng)絡(luò)上的威脅仍是個(gè)未知數(shù)。

根據(jù)Forrester一項(xiàng)對157個(gè)組織IT決策者的調(diào)查，超過80%的SIEM產(chǎn)品部署主要是為了滿足合規(guī)要求的生成報(bào)表的能力。少于40%的被訪問者表示他們的組織使用該產(chǎn)品技術(shù)的事件關(guān)聯(lián)能力。

“SIM產(chǎn)品是由PCI合規(guī)要求所驅(qū)動的報(bào)表工具，如果沒有PCI的出現(xiàn)，它根本不會存在” Kindervag說道，“人們被事件關(guān)聯(lián)的概念所迷惑，但是在真實(shí)世界部署時(shí)它工作的情況卻不是那樣”。

日志管理廠商LogLogic公司對San Jose市進(jìn)行的調(diào)查發(fā)現(xiàn)，當(dāng)前系統(tǒng)生成的報(bào)表主要服務(wù)對象是IT審計(jì)人員、CIO和其他C級別的主管（如CEO、 CFO、COO等）。但是調(diào)查報(bào)告推斷SIM產(chǎn)品會成為用于全面深入分析IT數(shù)據(jù)的基石。

Q1 Labs公司的CEO Brendan Hannigan確信公司的顧客想從他們的SIEM產(chǎn)品部署中得到更多的東西。Hannigan所在的公司最近剛被IBM收購，他將會領(lǐng)導(dǎo)一個(gè)新的部門來整合IBM所有的安全產(chǎn)品。有Q1公司的SIEM平臺作為基礎(chǔ)，IBM計(jì)劃將它的數(shù)據(jù)庫安全、終端管理、網(wǎng)絡(luò)安全和應(yīng)用安全產(chǎn)品捆綁在一起，并且用分析功能來加強(qiáng)它們，以從這些系統(tǒng)中得到更多可操作的數(shù)據(jù)。

Hannigan表示，“在安全界有一個(gè)本質(zhì)的變化正在發(fā)生，就是關(guān)注點(diǎn)從解決特定工作的單個(gè)產(chǎn)品轉(zhuǎn)移到更為廣闊的內(nèi)容”。

防火墻、IPS和數(shù)據(jù)庫以及應(yīng)用服務(wù)器產(chǎn)生的大量數(shù)據(jù)能幫助組織更好地理解他們的網(wǎng)絡(luò)威脅，從而最終讓CISO（首席信息安全官）們做出更為明智的安全決策。據(jù)分析師們看來，正是需要更為強(qiáng)勁的分析引擎來從所有這些數(shù)據(jù)中找出有價(jià)值的東西，才驅(qū)動了大型的基礎(chǔ)設(shè)施廠商如IBM和HP獲得SIEM系統(tǒng)。

HP十分看好這項(xiàng)技術(shù)，因此在2010年花費(fèi)15億美元收購了算是這個(gè)領(lǐng)域的領(lǐng)先者——ArcSight公司。EMC公司的安全事業(yè)部、RSA公司正在將它的EnVision SIEM系統(tǒng)與它新收購的NetWitness公司的網(wǎng)絡(luò)監(jiān)控平臺進(jìn)行整合，為SIEM數(shù)據(jù)增添了網(wǎng)絡(luò)背景和分析能力。

分析師們同意許多早期的SIM廠商可能不具備對不同的數(shù)據(jù)來源進(jìn)行分析所需的處理能力。Gartner公司的副總裁兼著名的分析師Mark Nicolett說道，可擴(kuò)展性正在成為SIEM系統(tǒng)最為重要的能力之一。Nicolette表示，能夠大規(guī)模地支持異構(gòu)的事件來源的SIEM平臺更能維持牢固的市場占有率。

Gartner公司認(rèn)為，SIEM系統(tǒng)應(yīng)該能更為有效地收集日志并具備實(shí)時(shí)監(jiān)控的能力。Nicolette說，“如果廠商不具備兩者，他們終究會只能處在市場的邊緣”。

EMC公司的安全事業(yè)部，RSA公司的安全管理和合規(guī)業(yè)務(wù)部的高級副總裁兼總經(jīng)理Amit Yoran說道，SIEM系統(tǒng)擅長于收集日志，但是他們需要工具來幫助分析師們用數(shù)據(jù)來揭示事故的各個(gè)方面、或是找到引起擔(dān)憂的異常事件。

“隨著復(fù)雜攻擊和高級威脅的出現(xiàn)，你當(dāng)前的評估不能只限于你在這一刻所看到的流量”，Yoran說，“某個(gè)行為在隔離時(shí)看可能不會觸發(fā)告警，但是當(dāng)你在一定背景下看到它時(shí)，就會變得很有趣了”。

Yoran談到，NetWitness公司的前CEO正在監(jiān)督將其產(chǎn)品集成到RSA的SIEM平臺EnVision中，將在有效地保存大量數(shù)據(jù)、理解多種多樣的日志格式和協(xié)議方面大放異彩。同時(shí)，Yoran表示他認(rèn)為對于組織來說，SIEM系統(tǒng)成為強(qiáng)大的工具是切合實(shí)際的。

“我不認(rèn)為那些只能收集所有與安全分析相關(guān)的關(guān)鍵信息的單個(gè)數(shù)據(jù)倉庫會繼續(xù)存在下去”，Yoran說，“但這個(gè)一應(yīng)俱全的大家伙對于大型的企業(yè)來說，運(yùn)作起來似乎不太可行”。

企業(yè)可能開始只記得滿足合規(guī)要求，但是如果當(dāng)在兩個(gè)產(chǎn)品中進(jìn)行選擇時(shí)，一個(gè)是只在日志管理方面強(qiáng)大的SIEM系統(tǒng)，一個(gè)是設(shè)計(jì)用來日志管理且能實(shí)時(shí)監(jiān)控的系統(tǒng)，大多數(shù)的組織會看到監(jiān)控的價(jià)值，除非在價(jià)格方面有巨大的差異。Nicollete談到，他正在密切地觀察HP ArcSight公司，因?yàn)镠P保留了ArcSight的核心開發(fā)團(tuán)隊(duì)，能讓該SIEM廠商快速用新功能迎合市場。他認(rèn)為，在HP公司的支持下，ArcSight公司在支持大規(guī)模部署方面表現(xiàn)得更為出色。

HP公司安全部門的副總裁、即ArcSight公司的原CEO Tom Reilly談到，SIEM產(chǎn)品應(yīng)該是企業(yè)安全方案的集成化平臺。就像RSA和IBM公司那樣，HP也正在開發(fā)工具，通過慢慢地融合ArcSight的SIEM平臺的分析能力，讓企業(yè)更好地審視網(wǎng)絡(luò)中的威脅。他表示這一切都與網(wǎng)絡(luò)識別（network awareness）有關(guān)。

“如果你相信每個(gè)公司都必須轉(zhuǎn)向獲得安全的可視性，那他們都需要在SIM產(chǎn)品上投入”，Reilly說。“我聽到關(guān)于復(fù)雜性和費(fèi)用的這些抱怨，但是我聽到更多成功實(shí)施的案例，與其抱怨，現(xiàn)在更適合來重視集成化并為其預(yù)熱，以及易于使用”。

Reilly說HP公司正在致力于讓IPS與日志收集成為開箱即用（out-of-the-box）的用戶體驗(yàn)，目標(biāo)是瞄準(zhǔn)那些只有有限IT職員和經(jīng)驗(yàn)的公司，通過提供用于集成的預(yù)置接口。

McAfee公司的風(fēng)險(xiǎn)與合規(guī)高級主管Martin Ward說道，為了擁有開箱即用的能力，McAfee公司本月收購了NitroSecurity公司，并且開始將NitroView系列產(chǎn)品融合到ePolicy Orchestrator 套件當(dāng)中。McAfee公司和NitroSecurity公司一直有著密切的聯(lián)系，McAfee看中了它的私有數(shù)據(jù)庫，其能提供關(guān)聯(lián)和剖析能力，這與其它SIEM廠商相比，是非常強(qiáng)大的能力。

“NitroSecurity的速度是頂尖的”，Ward說，“現(xiàn)有的SIEM廠商需要花費(fèi)數(shù)個(gè)小時(shí)運(yùn)行的報(bào)表， Nitro在幾分鐘內(nèi)就能做到”。

Forrester公司的Kindervag說道，SIM產(chǎn)品的未來似乎是帶有強(qiáng)力分析工具的數(shù)據(jù)倉庫技術(shù)（data warehousing technology），能幫助IT團(tuán)隊(duì)“嚼碎”海量的數(shù)據(jù)。

“真正的以事實(shí)，而不是推測為依據(jù)做出更好的決策”，Kindervag說道，“如果IT部門能從他們的系統(tǒng)得到可操作的數(shù)據(jù)并且使用好它，我們可以展望更多與業(yè)務(wù)層面保持一致的決策，并基于風(fēng)險(xiǎn)影響來解決威脅”。

【編輯推薦】

1. 僵尸攻擊 您的數(shù)據(jù)中心災(zāi)難恢復(fù)計(jì)劃準(zhǔn)備好了嗎？
2. Imperva針對Microsoft SharePoint推出數(shù)據(jù)安全產(chǎn)品
3. Chinasec走進(jìn)肇慶移動 構(gòu)建數(shù)據(jù)安全新體系
4. SONICWALL推出應(yīng)用流量分析工具套件
5. 小心你的WEB應(yīng)用程序成為數(shù)據(jù)竊賊的幫兇