对于一个企业用户来说,他们很难区分SOC、ESM、SIEM和Insider Threat在技术与概念上的差异。这就造成了安全管理市场的一片混乱。
当IDC在2006年对企业内部安全威胁潜在市场进行过预测之后,大量的专业安全公司一时间全部倾尽全力投身于对SIEM(安全信息和事件管理)技术的研发,并一度引爆了ESM(企业安全管理)、Insider Threat(内部威胁管控)与SOC(安全运营中心)的话题,并最终在2007~2008年引发一场彻底的混乱。
安全管理概念混淆对于一个企业用户来说,他们很难区分SOC与SIEM在技术与概念上的差异。要知道,SIEM作为以安全信息和安全事件为基础的管理平台,一直以来都是企业安全策略的重要组成部分。应该说,SIEM的关键信息点在于:标准化、整合化、关联化、可视化。其核心思想是通过信息源的收集,实现对信息的关联分析,提供基于风险与威胁的及时响应,包括以法规遵从为导向的合规性保护。不幸的是,如同当前面临危机的UTM一样,当大家一起扑向SIEM时,技术本身获得了神话般的光环,但应用效果却频频爆冷。其中最为棘手的就是SOC,虽然SOC被形容为“木桶原理中的桶箍”:它能把各种安全技术、安全产品、安全策略、安全措施等各种目标箍在一起,共同形成一个坚实的木桶,保护桶里面的资源。
发展到现在的SOC给企业用户留下的印象更多是无用消息的堆砌以及无法实现的功能,以至于在国内很难找到非常成功的SOC案例。
ArcSight全球工程研发副总裁宋海燕表示:“对用户而言,SOC带来的最大收益就是能把所有与安全有关的信息综合起来,用户在窗口中看到这些信息,同时接收采取行动的建议。对很多公司来讲,做一个大的SOC需要庞大的投入,这种投入如果在一开始标定不清或者认识不清,就会引发混乱。这种混乱主要体现在布局、规划的不成功。其实,基于SIEM的方案是弹性的,大企业可以投入大量人力去建设ESM或者SOC,小企业也可以利用SIEM,通过邮件、短信息、黑莓等设备管控信息。”
关注关联分析
宋海燕认为,实现SIEM技术的应用化,有两个问题不能忽视。第一,关联分析技术需要做得灵活、完善。举例来看,5分钟之内,某个事件如果发现了5次或者5次以上,系统就要作预警,这是最简单的关联分析。但国内用户需要的并非如此简单的技术,用户希望知道的是,某次安全事件发生了,那么下一次类似事件会在什么时间发生?换句话说,第二件事情发生的情况,就是根据第一件事情产生出的信息进行关联分析预测的,它能够把非常多的因素加入到不同的分析模型中去。最重要的是,这些分析需要在实时的情况下去做,在很大的数据量的情况下完成。比如很多银行用户,它的应用系统在一分钟内可以产生上百条信息,这对关联分析引擎的功能要求非常高。
第二,数据收集要从平台架构出发。数据收
集如果不从平台架构去想,那么用户在IT系统中每增加一个新产品,厂商都不得不重头开发。合理的做法是,厂商要为用户提供一个架构,可以快速部署上线进行信息搜集。遗憾的是,能够把很多没有架构、没有结构的信息用一种很好的方式给它统一化,实现的难度非常高。对于内部威胁控制,她认为,基于SIEM的做法就是实现对于企业人员的监控、以及对于人员在企业各个资产操作上的监控。一个合理的建议是,尽可能地建立人员身份模型并吸收到相关SIEM系统中去。通过建立一个不断更新的架构,将企业人员的角色和其应该做的事情联系在一起,开展基于身份、角色、时间地点的关联分析。
【责任编辑:
董晶晶 TEL:(010)68479336-8033】
服 务 CIO 推 进 信 息 化 
