雖然安全資訊和事件管理(SIEM)市場在不斷發展,但它卻已在許多IT管理者中留下了很多不好的印象。而且許多企業在買進SIEM時所抱的期望不太現實,他們覺得SIEM是向其提供一種快速修復問題的萬能藥,能夠使安全檢測和保護自動化。事實上,SIEM正如其它工具一樣,它要求一些專門技術,並且需要實實在在的工作才能實現其真正的價值。
這種過高的期望會導致在部署SIEM產品後的嚴重失望。下面談一下能夠影響SIEM部署成功率的一些重要因素。
1、SIEM難以使用
其困難確實可歸結為這樣一個事實:SIEM並不是一項容易使用的技術。部分原因是SIEM廠商沒有充分地簡化其產品。
我們需要看到更多的部署模式,讓企業更容易使用它。為了讓這個市場繼續發展,並為客戶創造價值,SIEM應當更易於使用,更適用於中端市場的客戶。然而現在這項技術卻過於復雜。同時,企業還需要培訓其安全人員以便獲取其SIEM投資的價值。
最終還要確定發生了什麼,企業是否缺乏培訓,這絕不僅僅是收集資訊、分析資訊的問題,也不僅僅是判斷是否遺漏了什麼的問題,而是要從修復的觀點來看如何應對困難。
2、日誌管理缺乏標準化
為了使得不同設備的數據收集真正實現標準化,並使所有的數據解析自動化,企業需要對所記錄的數據實現標準化。
這是事件管理的最大問題之一。如今,不同的產品在描述事件特徵時採用了許多不同的方法。為推動該領域的標準化,有的廠商已經採用通用的事件格式,不過,這些廠商在統一SIEM市場的標準時往往又缺乏可信性及權威。
3、IT無法超越組織的權力鬥爭
正如一位SIEM廠商的總裁所言,其客戶所面臨的關鍵挑戰之一是真正地將公司的所有部門組織起來,使SIEM真正覆蓋適當的監視範圍。要知道,公司需要監視的各個方面位於企業內部的不同地方,而這些地方由企業的不同部門掌控。
如果企業無法將描繪特定事件的所有安全數據集成起來,那麼,即使最強大的關聯引擎也產生不了良好的效益。
4、安全管理人員將SIEM看成是魔術
安全人員對SIEM的期望並不現實,因為許多IT管理員認為SIEM功能強大,簡直無與倫比。
許多人認為SIEM就是魔盒中的東西。如有人認為,“我買了SIEM,它就能夠為我完成一切。”有的SIEM容易使用,有的則不然,但它們都需要查看資訊並得出結論。如果你並不瞭解特定的環境,SIEM就無法真正發揮最大作用。
許多公司認為SIEM及相關部署類型就如同變魔術一樣,並期望SIEM可以收集一切,而且可以與任何設備集成。有的人甚至以為,即便不知道自己的應用要求,SIEM也可以自動聯接和應用。
5、關於SIEM的性能和伸縮性的問題。
這個就是SIEM從業的技術人員需要潛心研究的問題了。
因而,許多專家認為,企業需要安排SIEM部署的優先順序,並確定目標,例如,在購得SIEM技術之前,要考慮是把它用於收集數據和作出報告,還是要用它來挖掘歷史數據。
如果企業沒有很好地定義這些問題,就無法真正知道要從購買的SIEM中獲得什麼。從而,在購得設備之後,特別是在買進這種高價格設備或者高端設備時,企業就會認識到原來部署和調整SIEM需要如此多的人力、物力,這種認識上的壓力足以令人退避三舍。
沒有留言:
張貼留言