业界领先的SIM厂商如ArcSight(HP)公司、Sensage和Q1 Labs(IBM)公司正在讨论扩展他们产品在业务分析和数据中心方向的能力,以便提供大数据分析,特别是引入实时分析。安全分析师实质上承担着的大量数据不仅来自于网络安全设备,还有操作系统、应用、甚至是用户行为。Sensage公司的总裁兼CEO Joe Gottlieb表示他们公司的工具已经让组织可以从特殊来源提取安全数据到数据中心,后者对这些数据流的子集进行关联规则运算。
“这些数据都是五分钟以内的”,Gottlieb说到。“实时性实际上是来源和新鲜数据的混合物。总而言之,这个行业需要控制对实时性的期望值。深度数据包检测技术为预防措施技术设置了基调,并且人们期望从SIM产品具有同样级别的情境意识,但事实上是不容易做到的。”
数据过载威胁到SIM产品的实时安全分析能力
明显的是,随着监控和报告技术越来越靠近实时分析,以及涉及到更多的数据来源,查询和处理事件以及维护阈值的复杂性也在不断增长。“如果过于雄心勃勃,可能会回到原点。公司都想进行实时分析,但是这需要平衡你的实际环境、以及对于你来说实时分析意味着什么,还有你想如何管理风险”,HP ArcSight公司的全球安全产品和解决方案市场总监Michael Callahan表示。
ArcSight公司也在通过提高其SIM产品的分析和关联能力,朝着实时分析前进。Callahan表示客户们想要加强性能和扩展性——即对更多来源数据的更快地分析和关联能力,以及展现安全事件背景,和发生在IT中的事件的能力。
“下一步是扩展它到整个组织中去,这可以让你有机会看待组织整体风险”,Callahan谈到。专家们劝诫企业需要缩减实时分析的范围,理解他们的环境,和攻击对IT基础设施中的各个组件来说意味着什么。
“每个安全团队都淹没在数据中,另外一个与实时分析的问题是它数据以太多,以至于造成数据过载的情况”,Red Seal Networks公司的CEO Mike Lloyd说到。“企业已经淹没在太多的数据中,而部署产生更多数据的传感器不是前进的康庄大道。这使得人力投入随着数据水涨船高,以至于我们能采取的行动是艰难的,并且会导致另外一个实时性问题”。
Red Seal公司的产品承诺通过映射安全产品间的交互,突出可能存在的脆弱的访问点,持续地提供对IT基础设施的可视性。Lloyd表示公司应该避免以预防或是取证能力为代价,对任何安全领域的过度投入、例如分析技术。
“这是企业犯的一个巨大的错误”,Lloyd说。“你无法了解更高层次上的每一件事件”。Security Curve咨询公司的Kelley表示SIM产品需要为他们遭受攻击的客户提供更佳的规则集和智能。“SIM在取证分析和将事件拼接在一起十分强大,”Kelley表示。“并且它擅长于以近乎实时的方式对简单、不太复杂的问题发出告警。”
