SIEM工具不足

以前的 123. 第3页

但其他公司则走了更复杂(可能更昂贵)的路线。例如，NetIQ和CheckPoint对“每个节点”收费，但组成节点的内容是不同的。TriGeo和eIQ对设备和节点数量都收费。尽管NetIQ的模型有一些优势(比如非常低的入门点)，但它不包括所有必需的硬件、操作系统和软件成本(微软Windows和SQL Server Enterprise)。最终，要么是大型部署的价格需要下降，要么是功能需要大幅提升，或者两者兼而有之。

哪个IT部门想要SIEM?

但一些更高层次的组织变革显然也在前面。这些可能会极大地影响IT的哪一部分进入SIEM前景。

随着信息安全团队中的角色继续发展，许多运营安全功能融入运营IT，毫无疑问，传统网络运营中心和它的兄弟姐妹——soc——之间的分界点最终将消失。时间会告诉我们哪些安全功能将留在可操作的IT之外，但几乎没有人会质疑安全能够(并且确实)影响性能和可用性的经典IT原则，并且这两个原则的最终合并是不可避免的。然而，这种碰撞过程可能会产生一些有趣的后果。对于初学者来说，经典的网络监控平台是否开始包括足够的安全上下文，或者安全平台是否开始包括经典的性能和可用性监控?

几年前，当Tivoli等产品试图为已经建立的监控平台提供安全插件时，我们就看到了这种冲突的早期迹象。这在当时和历史上都不太好，传统的网络监控平台既没有安全“智能”，也没有必要的能力来解决Infosec不同的问题集，这就是为什么很少有人记得像Tivoli风险管理器的早期版本这样失败的尝试。

现在是2008年，像IBM和惠普正在通过收购和合作来填补这些空白，但我们还没有看到一个明确的赢家。

在这方面，NetIQ可能处于最好的位置。它的应用程序管理套件在IT运营领域是一个成熟的竞争者，尽管我们对安全管理有一些抱怨，但它肯定会成为这个产品领域的竞争者。NetIQ已经有一个用于基本安全管理器和应用管理器集成的模块，但不幸的是，我们没有机会对它进行测试。

另一个有趣的动态是，在一些更高级的SIEM产品中发现的相关引擎可以被重新用于处理更多面临业务的安全挑战。

例如，信息安全服务提供商Vigilant的首席技术官Joe Mcgee已经开始定制商业SIEM产品，以帮助应对网上银行领域的欺诈交易。通过对定制应用程序进行一些高级映射，跟踪用户资料、用户行为和登录位置等项目，他的公司已经能够帮助客户减少在线欺诈数字。隔离一个匹配漏洞数据的IDS警报是一回事，在公司经历实际损失之前阻止欺诈性交易则是另一回事。对于一般的安全分析师来说，前者稍微不那么令人头痛，而后者提供了一些有形的业务价值，甚至IT之外的人也能理解。这是决策者应该集中精力的显而易见的地方。SIEM技术更面向业务的应用对每个人来说都是一场胜利;安全性、可操作IT、供应商和企业都将受益。问题是，我们多久能到达那里?

毕竟我们的设施,设备配置,故障排除,在许可密钥,到期规则创作,定制和晚问自己,到底从何而来?”一个实现超越一切:不使用技术来监控事件和日志数据在2008年是一个糟糕的风险管理实践。但紧随其后的是意识到,直到产品日趋全面你的决定应该是基于用例:知道你需要第一,第二和第三,飞行员在你买之前,和知道这个空间还是成熟…并将继续这样做,至少在未来几年中。

希普利是信息风险管理咨询公司Neohapsis的首席技术官。他要感谢德保罗大学的Apneet Jolly和Leigh Hollowell在测试期间提供的帮助。希普利可以通过gshipley@neohapsis.com联系到他。

了解更多关于这个主题的信息