在混亂中求生 安全管理如何走出概念迷局

申請免費試用、咨詢電話：400-8352-114

對于一個企業(yè)用戶來說，他們很難區(qū)分SOC、ESM、SIEM和Insider Threat在技術與概念上的差異。這就造成了安全管理市場的一片混亂。

當IDC對企業(yè)內部安全威脅潛在市場進行過預測之后，大量的專業(yè)安全公司一時間全部傾盡全力投身于對SIEM（安全信息和事件管理）技術的研發(fā)，并一度引爆了ESM（企業(yè)安全管理）、Insider Threat（內部威脅管控）與SOC（安全運營中心）的話題，并最終在2007～2008年引發(fā)一場徹底的混亂。

安全管理概念混淆

對于一個企業(yè)用戶來說，他們很難區(qū)分SOC與SIEM在技術與概念上的差異。要知道，SIEM作為以安全信息和安全事件為基礎的管理平臺，一直以來都是企業(yè)安全策略的重要組成部分。應該說，SIEM的關鍵信息點在于：標準化、整合化、關聯(lián)化、可視化。其核心思想是通過信息源的收集，實現(xiàn)對信息的關聯(lián)分析，提供基于風險與威脅的及時響應，包括以法規(guī)遵從為導向的合規(guī)性保護。不幸的是，如同當前面臨危機的UTM一樣，當大家一起撲向SIEM時，技術本身獲得了神話般的光環(huán)，但應用效果卻頻頻爆冷。其中最為棘手的就是SOC，雖然SOC被形容為“木桶原理中的桶箍”：它能把各種安全技術、安全產品、安全策略、安全措施等各種目標箍在一起，共同形成一個堅實的木桶，保護桶里面的資源。

發(fā)展到現(xiàn)在的SOC給企業(yè)用戶留下的印象更多是無用消息的堆砌以及無法實現(xiàn)的功能，以至于在國內很難找到非常成功的SOC案例。

ArcSight全球工程研發(fā)副總裁宋海燕表示：“對用戶而言，SOC帶來的最大收益就是能把所有與安全有關的信息綜合起來，用戶在窗口中看到這些信息，同時接收采取行動的建議。對很多公司來講，做一個大的SOC需要龐大的投入，這種投入如果在一開始標定不清或者認識不清，就會引發(fā)混亂。這種混亂主要體現(xiàn)在布局、規(guī)劃的不成功。其實，基于SIEM的方案是彈性的，大企業(yè)可以投入大量人力去建設ESM或者SOC，小企業(yè)也可以利用SIEM，通過郵件、短信息、黑莓等設備管控信息?！?

關注關聯(lián)分析

宋海燕認為，實現(xiàn)SIEM技術的應用化，有兩個問題不能忽視。第一，關聯(lián)分析技術需要做得靈活、完善。舉例來看，5分鐘之內，某個事件如果發(fā)現(xiàn)了5次或者5次以上，系統(tǒng)就要作預警，這是最簡單的關聯(lián)分析。但國內用戶需要的并非如此簡單的技術，用戶希望知道的是，某次安全事件發(fā)生了，那么下一次類似事件會在什么時間發(fā)生？換句話說，第二件事情發(fā)生的情況，就是根據(jù)第一件事情產生出的信息進行關聯(lián)分析預測的，它能夠把非常多的因素加入到不同的分析模型中去。最重要的是，這些分析需要在實時的情況下去做，在很大的數(shù)據(jù)量的情況下完成。比如很多銀行用戶，它的應用系統(tǒng)在一分鐘內可以產生上百條信息，這對關聯(lián)分析引擎的功能要求非常高。

第二，數(shù)據(jù)收集要從平臺架構出發(fā)。數(shù)據(jù)收集如果不從平臺架構去想，那么用戶在IT系統(tǒng)中每增加一個新產品，廠商都不得不重頭開發(fā)。合理的做法是，廠商要為用戶提供一個架構，可以快速部署上線進行信息搜集。遺憾的是，能夠把很多沒有架構、沒有結構的信息用一種很好的方式給它統(tǒng)一化，實現(xiàn)的難度非常高。對于內部威脅控制，她認為，基于SIEM的做法就是實現(xiàn)對于企業(yè)人員的監(jiān)控、以及對于人員在企業(yè)各個資產操作上的監(jiān)控。一個合理的建議是，盡可能地建立人員身份模型并吸收到相關SIEM系統(tǒng)中去。通過建立一個不斷更新的架構，將企業(yè)人員的角色和其應該做的事情聯(lián)系在一起，開展基于身份、角色、時間地點的關聯(lián)分析。（中國信息安全）