淘汰還是加強落后的SIEM系統(tǒng)？

據專家介紹，部署著老舊的安全信息和事件管理（Security Information Event Management，以下簡稱SIEM）系統(tǒng)的企業(yè)正重新審視他們的硬件，有時候他們在想到底是用額外的工具來完善SIEM系統(tǒng)，還是完全替換成新的系統(tǒng)。

通信服務提供商MetroPCS Wireless公司的Gregg Woodcock發(fā)現，日志相關性分析是運營高效安全業(yè)務必不可少的一部分。

實際上，這位來自達拉斯的軟件工程師發(fā)現了日志相關性分析的巨大價值。他成立并維護了一個位于達拉斯的用戶群組，致力于完善免費、開源的搜索工具Splunk。這款工具可以接收客戶交易、網絡活動、通話數據等多種類型的數據，并對它們作關聯性分析，以發(fā)現有價值的情報。據Woodcock表示，這款工具非常受歡迎，雖然Splunk用戶群組內的很多成員所在的企業(yè)都安裝了安全信息和事件管理（SIEM）系統(tǒng)，但他們也希望把Splunk當作類似Google的搜索框來加強SIEM。

MetroPCS使用Splunk來監(jiān)控違反免費國際電話呼叫計劃服務條款的用戶。Woodcock表示，用戶立即就能知道通話去向和費用。人們違反服務條款——將免費國際呼叫用于商業(yè)的行為很快就能從呼叫記錄數據中被檢測出來，并在費用失控之前切斷通話。

“它的速度和提供信息的深度令人驚奇，”Woodcock說。“它本質上是Google你的日志；它實時接受日志并標出時間戳，然后你可以使用類似Unix的搜索命令集做任何事情。”

Splunk在2010年增加了對安全監(jiān)控的支持。它也可以產生實時警報。Woodcock說，它正被成千上萬的人用來增強已有SIEM系統(tǒng)，這一事實表明，很多早期部署的SIEM系統(tǒng)要么很難正確配置，要么很難給出有價值的情報。“有了Splunk，你可以輸入所有數據，在上面采用只對你有用的特定模式進行排序和搜索，這就是一個巨變，”他說。“而其他很多產品，你必須作二次開發(fā)才能得到可用的數據模式。”

Bill Sielein是CISO Executive Network公司的CEO，他說，目前大部分SIEM系統(tǒng)只是用來滿足合規(guī)和提供報告功能，而且很多系統(tǒng)還繼續(xù)被部署來滿足這最小用例。Sieglein最近參加了財富1000強企業(yè)CISO圓桌會議，內容包括日志管理和SIEM。他說很多CISO正在考慮是否要用更新的SIEM技術淘汰老舊的SIEM系統(tǒng)，以建立一個情報平臺。

“幾乎在每一個案例中，安裝啟用新系統(tǒng)所花的時間和經費都超過預想，”Sieglein說。“他們正努力更新繼續(xù)許可證，以在風險管理和情境認識方面發(fā)掘更大價值。”

Sieglein說，早期的SIEM系統(tǒng)非常難于部署，在某些情況下要花費兩到三年時間，還要耗費四分之三的經費用于協助部署的專業(yè)服務。今天，人們更多地考慮輕量級系統(tǒng)——來自McAfee（NitroSecurity）、IBM（Q1 Labs）以及LogRhythm的SIEM平臺，這些系統(tǒng)承諾了更快的實現和更多易用的自動化功能。

他說，實際投入過SIEM的企業(yè)都體驗過歷程的艱辛。企業(yè)一旦希望審閱好日志，就不僅要雇傭大量員工從事事件監(jiān)控，還要雇人管理系統(tǒng)以防止被數據淹沒。系統(tǒng)必須要完全打好補丁，還需要一些明白如何編寫專業(yè)報告的人，以實現系統(tǒng)的價值。

“很多人抱怨，從系統(tǒng)的角度看，SIEM 1.0需要太多管理人員，”Sieglein說。“它使資源不能集中于實時觀察事件。”現在SIEM 2.0承諾了更快的實現、少得多的系統(tǒng)管理，使資源和時間能被集中用于分析警報類型并采取實際行動。“

Chris Petersen是LogRhythm公司的聯合創(chuàng)始人和CTO，他也同意部署和維護早期的SIEM系統(tǒng)是一個惡夢，而且這些系統(tǒng)經常為了滿足特定的合規(guī)要求而運行在一個糟糕的配置狀態(tài)。

Petersen說，SIEM最初被設計用來處理入侵檢測系統(tǒng)生成的大批量數據，將IDS數據裁減到可行的、更容易管理的規(guī)模。SIEM廠商不斷增加來自網絡層、設備層、應用層和數據庫層的日志數據，使它越來越復雜。現在的焦點是更好地管理數據來源和自動化分析。”今天的目標是檢測更廣泛的來自內部威脅的事件類型、復雜的入侵、和深嵌型泄露，以更好地取證。SIEM廠商已經認識到寄望于企業(yè)手動分析日志是不可能的。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]