企業(yè)正在尋求更好的安全信息和事件管理(SIEM)工具，他們不需要更多技術(shù)，而需要能夠快速啟用和可用的系統(tǒng)。下一代安全信息和事件管理(SIEM)系統(tǒng)將會(huì)包含很多新功能，但安全公司目前仍然在努力幫助客戶解決在管理和運(yùn)行現(xiàn)有產(chǎn)品時(shí)遇到的問題。

[[88359]] 

雖然SIEM系統(tǒng)已經(jīng)存在超過十年，但在部署和維護(hù)這些系統(tǒng)方面，企業(yè)仍然遇到很多問題。根據(jù)安全管理公司EiO Networks調(diào)查顯示，超過半數(shù)的企業(yè)至少需要兩位全職分析師來(lái)運(yùn)行這個(gè)系統(tǒng)，而44%的企業(yè)需要數(shù)周來(lái)部署其SIEM系統(tǒng)。

IT管理公司SolarWinds產(chǎn)品管理主管Nicole Pauls表示，這些問題讓我們意識(shí)到，SIEM在未來(lái)最重要的功能就是易用性。她表示，“我們正在努力適應(yīng)不斷變化的威脅環(huán)境，這并不需要我們集合新工具，我們真正需要的是改進(jìn)這些工具，讓我們可以更快地適應(yīng)威脅環(huán)境。”

安全專家建議，企業(yè)應(yīng)該連續(xù)監(jiān)測(cè)他們的網(wǎng)絡(luò)，以獲得更好的可視性，了解潛在的威脅，因此，現(xiàn)在越來(lái)越多的企業(yè)都在考慮SIEM系統(tǒng)或者已經(jīng)開始進(jìn)行網(wǎng)絡(luò)監(jiān)控項(xiàng)目。根據(jù)Ponemon研究所的網(wǎng)絡(luò)犯罪成本調(diào)查顯示，安全情報(bào)系統(tǒng)繼續(xù)成為減少安全泄露事故的首位戰(zhàn)略，涉及減少400萬(wàn)成本。

然而，SIEM部署卻是很困難，整合不同數(shù)據(jù)來(lái)源需要內(nèi)行的安全分析師，而且需要企業(yè)的所有利益相關(guān)者合作，鑒于這兩點(diǎn)，很多SIEM項(xiàng)目一直停滯不前。Gartner商業(yè)智能網(wǎng)絡(luò)安全副總裁Mark Nicolett表示，供應(yīng)商通常拖延易于部署的營(yíng)銷產(chǎn)品，而不是坦誠(chéng)地討論部署分析緩解的困難。

如果部署不會(huì)變得更加簡(jiǎn)單，增加更多功能也無(wú)濟(jì)于事，如果下一代產(chǎn)品沒有變得更加可用，那么沒有人會(huì)在乎。雖然大多數(shù)安全智能產(chǎn)品制造商可能不會(huì)改變其產(chǎn)品線，但企業(yè)高管知道他們必須解決其SIEM產(chǎn)品曲折的學(xué)習(xí)曲線，否則將會(huì)落后于市場(chǎng)。

她表示，“SIEM仍然有很多尚未實(shí)現(xiàn)的愿景，例如行為分析和更好的事件關(guān)聯(lián)，我們需要為客戶提供更好的分析。”

為了提供更好的分析， SIEM供應(yīng)商和服務(wù)提供商的目標(biāo)是讓企業(yè)能夠輕松地將更多的數(shù)據(jù)、威脅情報(bào)和其它信息整合到到SIEM系統(tǒng)。然而，這些產(chǎn)品還需要考慮數(shù)據(jù)的內(nèi)容以及企業(yè)面臨的風(fēng)險(xiǎn)。安全管理服務(wù)供應(yīng)商Eio Networks總裁兼***執(zhí)行官Vijay Basani表示：“我們可以收集大量數(shù)據(jù)，并產(chǎn)生很多數(shù)據(jù)，但我們不知道對(duì)于你的企業(yè)而言，哪些數(shù)據(jù)是重要的。我認(rèn)為這將會(huì)發(fā)生顯著變化。采用***做法將幫助企業(yè)專注于正確的問題上。”

整合更多數(shù)據(jù)到未來(lái)SIEM產(chǎn)品的做法的很大一部分需要結(jié)合具有威脅情報(bào)的設(shè)備和服務(wù)。很多供應(yīng)商已經(jīng)推出了威脅信息共享中心和論壇，安全專家可以一起交流分析。AlienVault提供Open Threat Exchange，CyberSquared開發(fā)了Threat Connect，而惠普最近推出了Threat Central。這些服務(wù)結(jié)合了惡意軟件分析和開源智能工具與社交網(wǎng)絡(luò)和眾包分析來(lái)創(chuàng)建一個(gè)虛擬空間，以了解***的安全威脅。

惠普企業(yè)安全產(chǎn)品營(yíng)銷主管Eric Schou表示，眾包模式將會(huì)可行，因?yàn)樗鼮槊總€(gè)參與者提供了更多價(jià)值。

然而，眾包模式和大量威脅數(shù)據(jù)可能不會(huì)提高SIEM的有效性，Gartner的Nicolett表示，更多的數(shù)據(jù)并不一定是一件好事，如果你不能正確地分析這些數(shù)據(jù)。他表示，“我們的問題并不是缺少數(shù)據(jù)，我們?nèi)鄙俚氖欠治鲞@些數(shù)據(jù)的智能化。”如果下一代產(chǎn)品可以提供智能和實(shí)用性的結(jié)合體，企業(yè)才能夠獲益。