第三方兼容对SIEM产品而言意味着什么

2009年11月,思科股份有限公司宣布,其公司生产的MARS安全信息和事件管理(SIEM)产品不再与第三方的产品兼容。这样一来,企业在选择SIEM产品时是否还会考虑MARS,或者说这种供应商锁定的做法是否会带来高成本呢?这就是该篇文章将要讨论的问题。

首先,补充一点背景知识:何为MARS系列产品?引用思科的常见问题(FAQ)回答中的话,它是供应商的安全监测、分析和响应系统,简写为MARS(Monitoring, Analysis and Response System)。该产品“以设备为基础,具有全套解决方案,允许网络和安全管理部门检测、识别、隔离和对抗安全威胁。” 从本质上来说,MARS是思科开发的进行统一安全监测和缓和的平台,引导思科安全产品组合内的设备相互交互,及时(有时候甚至是是实时)解决安全威胁。

MARS是思科开发的、基于日志管理的系列产品之一。传统的日志管理平台,提供一个中央存储库采集来自于服务器、防火墙、交换机、路由器,甚至Web服务上的安全事件。大多数日志管理平台具有强大的解析引擎,能够触发预先设置的搜索标签上的警报。这些搜索标签是特别定做的,具有大量的正则表达匹配。举例来说,在以下情况,搜索标签可以触发警报:系统中的账户被创建或者取消,设备的配置被修改或发生系统故障。这种方式可以高效率地追踪系统或安全事件。这些平台同样配有预先配置的警报包,能够帮助组织应对PCI DSS(数据安全标准)一类的规则遵从要求。

MARS有何不同呢?首先MARS是一种SIEM产品,与其他的 SIEM产品类似。它具有最基本的日志管理性能,能够对从多处收集来的安全事件进行智能的威胁分析和缓解。通过一个列子,或许能够更好的理解MARS是如何在企业中运行的。既然思科的产品是我们所关注的,所以这个例子应该是以思科为中心的。

比方说,公司A希望能够获得最新的安全威胁资讯,并拥有强大的安全基础设施,能够了解到自身网络的各个部分。公司A还配置了具有入侵防御系统的防火墙,还部署了能提供传统 URL(统一资源定位符)和对恶意软件信息进行信誉过滤的Web安全网关。这个结构可以通过配置端点安全产品来扩大。端点安全产品拥有以主机为基础的入侵防御系统;具有可接受的使用政策和传统的反病毒程序保护。为避免未授权系统与其网站连接,公司A也使用了网络准入控制(NAC)系统。最后,公司A在服务提供商上运行电子商务平台。

公司A为保证高度的安全,利用端点产品应对不同层次上的安全问题。然而,所有的这些产品合在一起使得及时管理、监测和缓解安全风险变得很困难。换句话说,公司A正确地采用了多层次的安全策略,但是,仅靠这些端点产品提供信息,安全设施风险缓解能力的及时性和高效性就大打折扣了。通过加入SIEM产品,公司A可以利用智能的相关技术从公司的各个端点设备收集警报和数据,汇集和标准化这些采集的信息,去除重复性的条目。最后运用内置的安全规则来识别威胁并高效地缓解威胁。最后一步操作,对规则的实际运用在成功识别安全威胁方面是至关重要的。

既然我们已经讨论了SIEM工具,例如思科的MARS,所提供的安全功能,问题就出来了:第三方产品互操作性有多重要?答案:非常重要。SIEM技术能够从很多资源里汇集数据,当SIEM不能与这些提供数据的资源相连接时,SIEM的用处就微乎其微了,而且谁也不会把大把的钱花在这种用处极小的技术上。

虽然我们只能揣测思科这项决定背后的战略原因,有一点却是明确的:Gartner去年的一项报告表明,思科的MARS作为一种普通的SIEM产品已经不可行了。作为一种选择,思科使用自己的产品来推广自己更为广泛的“安全威胁管理”方案,同时不再重视思科产品与第三方产品的兼容。

最大的问题是,在这种情况下,企业是否应该把自己局限在思科平台上还是移到更为包容和开放的平台。左右这项决定的关键因素是,目前企业对思科平台的依赖度有多少。如果企业网络的大部分交换机和路由结构是以思科产品为基础的,以后在进行外围防御产品购买时,购买思科产品是更为合理的选择。另一方面,在SIEM产品上的极端决定,(Cisco vs. non-Cisco),思科已经将自己摆在了风头浪尖,将会遇到思科公司过去所面临的风险。放弃了自己的SIEM产品平台,从长远来说,思科获得的不仅仅是更大的互用性,还有在产品价格上更大的自由,以及进行产品升级的能力。或许这也是过去SIEM产品市场(不包括思科)流动性和竞争性如此之大的原因。

拥有多个供应商提供安全端点产品的企业,在购买SIEM平台时,我建议不要将MARS放在购货单里。目前使用MARS产品来监测非思科安全设备的企业,应当考虑着向其他SIEM平台的转移。这项建议并不是指责MARS的性能不好——MARS产品还是名副其实的——而是说,思科的政策已经改变,MARS产品不再支持第三方产品,而这种对第三方产品的兼容在SIEM平台中是极为关键的。通过建立起一个以思科产品为中心的MARS平台,思科公司应当唤起企业的思考:思科的这项决定会导致未来安全产品的互用性降低吗?目前这个问题还难以回答,不过,企业打算使用思科的安全产品时,应当考虑到这种互用性降低的可能性,尤其是那些希望避免产品不能互用问题的企业。

从短期来说,思科产品不再与第三方安全事件管理资源兼容会影响到思科产品的市场接受度。但从长期来说,在更为广大的市场上,思科会获得意想不到的正面效果。思科会集中精力去开发更为开放和兼容的平台,提高自己在这方面的竞争力。