在有限的預算內(nèi)，改進安全技術的最好辦法是什么?我們想要更新一些較老的技術，并轉(zhuǎn)移到SIEM(安全信息事件管理)或者其他威脅數(shù)據(jù)關聯(lián)產(chǎn)品，但面對緊張的IT安全預算，這很難實現(xiàn)。我們也有考慮一些開源產(chǎn)品，那么，在使用免費和開源安全工具與購買商業(yè)安全產(chǎn)品之間，如何作出最佳選擇呢?

從來沒有信息安全團隊告訴我，他們得到了他們想要的預算。現(xiàn)在，大家似乎都謹遵“少花錢多辦事”的宗旨。所幸的是，當你的預算很緊張時，有很多可行的開源工具可用來替換商業(yè)工具。對于選擇商業(yè)產(chǎn)品還是開源工具，并沒有經(jīng)過檢驗證明的可靠辦法。需要記住一些事情。：

開源安全工具通常只能在技術上與商業(yè)產(chǎn)品“媲美”。主要的區(qū)別是配置和升級的簡便性。開源工具有著陡峭的學習曲線，并且變化很快，而商業(yè)工具有用戶友好型配置界面，并提供服務支持。

如果你的安全團隊缺乏配置和維護開源工具所需的技能，考慮使用商業(yè)工具。另外，在高風險環(huán)境中，我也建議使用商業(yè)工具，因為這種環(huán)境中支持和正常運行時間非常關鍵，除非你的安全團隊能夠提供相同的支持水平，否則應該使用商業(yè)工具。我通?；旌鲜褂蒙虡I(yè)工具和開源工具來加強我的防御，這不僅提供了縱深防御(攻擊者必須滲透多個防御層)，還允許我的團隊在低風險環(huán)境中學習開源工具。

在你的開源安全工具候選名單中，應該考慮添加這些出色的開源工具：OSSIM是最受歡迎開源SIEM之一，它也是很成熟的工具。追溯到2003年，它支持幾乎任何網(wǎng)絡設備的日志格式，并能夠與開源IDS和漏洞評估工具很好地集成。它還提供一個升級路徑，如果你需要更多支持的話，你可以將其升級到商業(yè)版本。如果你沒有時間配置像OOSIM這么復雜的工具，Security Onion是另一個不錯的工具，Security Onion是基于Ubuntu的Linux發(fā)行版，包含構建分布式IDS/IPS傳感器網(wǎng)絡(流入中央數(shù)據(jù)庫)所需的一切。雖然它不能從現(xiàn)有網(wǎng)絡設備中導入日志，但它是使用開源或者專有工具構建中央警告系統(tǒng)的最快的工具。