虽然安全信息和事件管理(SIEM)市场在不断发展,但它却已在许多IT管理者中留下了很多不好的印象。而且许多企业在买进SIEM时所抱的期望不太现实,他们觉得SIEM是向其提供一种快速修复问题的万能药,能够使安全检测和保护自动化。事实上,SIEM正如其它工具一样,它要求一些专门技术,并且需要实实在在的工作才能实现其真正的价值。
这种过高的期望会导致在部署SIEM产品后的严重失望。下面谈一下能够影响SIEM部署成功率的一些重要因素。
1、SIEM难以使用
其困难确实可归结为这样一个事实:SIEM并不是一项容易使用的技术。部分原因是SIEM厂商没有充分地简化其产品。
我们需要看到更多的部署模式,让企业更容易使用它。为了让这个市场继续发展,并为客户创造价值,SIEM应当更易于使用,更适用于中端市场的客户。然而现在这项技术却过于复杂。同时,企业还需要培训其安全人员以便获取其SIEM投资的价值。
最终还要确定发生了什么,企业是否缺乏培训,这绝不仅仅是收集信息、分析信息的问题,也不仅仅是判断是否遗漏了什么的问题,而是要从修复的观点来看如何应对困难。
2、日志管理缺乏标准化
为了使得不同设备的数据收集真正实现标准化,并使所有的数据解析自动化,企业需要对所记录的数据实现标准化。
这是事件管理的最大问题之一。如今,不同的产品在描述事件特征时采用了许多不同的方法。为推动该领域的标准化,有的厂商已经采用通用的事件格式,不过,这些厂商在统一SIEM市场的标准时往往又缺乏可信性及权威。
3、IT无法超越组织的权力斗争
正如一位SIEM厂商的总裁所言,其客户所面临的关键挑战之一是真正地将公司的所有部门组织起来,使SIEM真正覆盖适当的监视范围。要知道,公司需要监视的各个方面位于企业内部的不同地方,而这些地方由企业的不同部门掌控。
如果企业无法将描绘特定事件的所有安全数据集成起来,那么,即使最强大的关联引擎也产生不了良好的效益。
4、安全管理人员将SIEM看成是魔术
安全人员对SIEM的期望并不现实,因为许多IT管理员认为SIEM功能强大,简直无与伦比。
许多人认为SIEM就是魔盒中的东西。如有人认为,“我买了SIEM,它就能够为我完成一切。”有的SIEM容易使用,有的则不然,但它们都需要查看信息并得出结论。如果你并不了解特定的环境,SIEM就无法真正发挥最大作用。
许多公司认为SIEM及相关部署类型就如同变魔术一样,并期望SIEM可以收集一切,而且可以与任何设备集成。有的人甚至以为,即便不知道自己的应用要求,SIEM也可以自动联接和应用。
因而,许多专家认为,企业需要安排SIEM部署的优先顺序,并确定目标,例如,在购得SIEM技术之前,要考虑是把它用于收集数据和作出报告,还是要用它来挖掘历史数据。
如果企业没有很好地定义这些问题,就无法真正知道要从购买的SIEM中获得什么。从而,在购得设备之后,特别是在买进这种高价格设备或者高端设备时,企业就会认识到原来部署和调整SIEM需要如此多的人力、物力,这种认识上的压力足以令人退避三舍。