随着SIEM工具的发展,信息安全专家们越来越接近这样的一天:对不同的安全事件进行理解和采取行动变得快速而简单。
Matt Roedell是宾夕法尼亚州特雷沃斯市TruMark Financial Credit Union的基础设施和信息安全副总裁。,has a big dream for his layered security network: One day, his antivirus protection, firewall, intrusion-detection system and other security tools will use integrated, intelligent security-information and event-management techniques to stop fraudulent transactions.
这个故事是一个特殊的安全趋势观察问题的一部分,PDF格式。现在下载。
作为SIEM(也称为安全事件管理或安全信息管理)的早期采访者和忠实信徒,Roedell认为,只有将该技术集成到应用程序和网络安全工具中,才能充分发挥其潜力。现在SIEM以独立工具的形式出现,这些工具可以跨安全基础设施收集、关联和分析事件日志。(比较SIEM产品。)
Gartner研究分析师凯利·卡瓦纳(Kelly Kavanagh)表示,罗德尔的愿望即将实现。他说,SIEM提供商正在取得创造性的进展,从单纯的日志收集转向智能分析。例如,他指出了SIEM的最新用例:用于欺诈检测或内部威胁管理的应用层监控。他表示,各公司正在将SIEM与传统安全工具放在一起,收集和分析应用程序级事件或交易日志,以发现欺诈或滥用的交易组合。
Roedell称SIEM为增长最快的证券市场之一,拥有20多家竞争对手,2006年增长率超过50%,2007年增长率超过30%,当时估计收入超过8亿美元CA,思科,电磁兼容(它的RSA安全部门)IBM,诺维尔和赛门铁克,拥有SIEM产品,以及许多较小的公司。其中包括ArcSight、High Tower软件、Intellitactics、Loghythm、netForensics、Prism Microsystems、Q1实验室、SenSage和TriGeo。
Kavanagh说,Roedell希望实现完全集成的第一个迹象也开始显现。CA、IBM和Novell等公司已开始将SIEM与他们的投资组合中的其他部分捆绑或集成,包括基于身份的访问管理、系统管理以及IT治理、风险和合规管理产品s
逍遥法外的特工
Roedell使用TriGeo的TriGeo安全信息管理器(SIM)设备来确定其公司安全基础设施面临的威胁的严重性。基于代理的TriGeo SIM将事件关联起来,例如有关防火墙或入侵检测系统(IDS)上TCP端口扫描的警报异常,并向其发送通知单,或根据预设阈值缓解问题。例如,它可以结束PC进程、关闭交换机端口、向路由器添加访问列表或进行防火墙配置更改,否则需要有人登录到每个设备并手动更新。
罗德尔说,使用SIM设备密切监视他的安全网络,不仅使漏洞管理变得更容易,而且还改善了合规举措。他说:“我可以向审计人员证明(SIM设备正在监控)任何带有IP地址的东西。”然而,合规只是导致企业越来越多地意识到并采用SIEM工具的一个因素,Gartner的Kavanagh说。他们的兴趣还可以归因于该技术的成熟、其部署和管理复杂性的降低,以及廉价、易于部署的SIEM设备的可用性。
Nemertes research的研究分析师Ted Ritter警告说,尽管SIEM工具比早期版本有所改进,但它们仍然可能过于复杂。大型企业尤其如此:“SIEM实现的复杂性随着基础设施的规模和复杂性急剧增加,”他说。在2007年的一项“安全与信息保护”基准研究中,Nemertes发现49家公司的54名参与者中有64%收集了日志,但只有25%实施了SIEM。“他们说,他们没有捕到的主要原因是,要捕获他们想捕获的东西,配置起来仍然太复杂和困难,”他说。
数以百万计的事件
然而,亚利桑那州钱德勒富国银行高级信息安全工程师丹尼斯·海因(Denis Hein)说,如果SIEM做得好,威胁管理就会变得容易得多。他在部署SIEM之前描述了安全管理:“我们有流程,但它们不足以处理我们每天收到的数千万个事件。四五个人分别登录到不同的安全工具,以不同的方式查看信息。没有共同的观点或相关性,”他说。
此外,Hein说,他对每家供应商的威胁分类都感到沮丧。防火墙供应商可能会称之为关键的东西,IDS供应商可能会忽略。尽管我们有了所有这些工具,也在监控更多的东西,但我们仍然缺少一些东西,”他说。
现在Hein使用ArcSight的SIEM平台开发和应用他自己的逻辑来识别、优先排序和减轻威胁。“该工具有更好的信息,所以它可以生成更好的威胁信息。这意味着我们可以采取更好的行动,”他说。
Hein补充道,团队成员可以调整自己对数据的看法。“尽管我们都能获得同样的信息,但它能让我们更加专注。例如,一个人只关注与信用卡处理相关的事件和信息,而另一个人可以关注病毒问题,所有这些都在同一台控制台中进行。”
与海因一样,拥有11万名员工的芝加哥金融服务巨头荷兰银行(ABN AMRO)信息安全业务全球主管阿兰·麦克米兰(Arlan McMillan)也利用了先进的SIEM功能。他说:“你必须摆脱对威胁向量的狭隘关注,进入行为分析的范围。让你的点式解决方案担心特洛伊木马和病毒。[SIEM]工具将你带到下一步。”。
例如,McMillan使用其Intellitactics Security Manager设备的收集和关联功能来识别表示他所称的“低和慢”攻击的模式。“像‘我爱你’和Slammer这样的病毒和蠕虫很容易被发现。我们需要的是更复杂的攻击,”他说。
荷兰银行所有的安全终端数据——每个月超过10亿个事件——都通过这个中央设备。麦克米伦说,反过来,它将数据关联起来,并过滤掉诸如IDS假阳性(可能高达80%)和错误的防火墙模式等错误信息。“然后,我们将数据的‘洗过’版本交给人类分析师进行进一步研究。如果我们给他原始数据,对一致性、可靠性或可重复过程的期望将为零。如果你没有这三样东西,你就不能制定规则或检查系统的有效性,”他说。
AlienVault的首席执行官Julio Casal表示,行为分析只是SIEM工具在不久的将来能够完成的工作的开始。AlienVault是一家支持和认证提供商,也是SIEM开源版本的贡献者。开源安全信息管理项目正在与联合国开发高级版本的SIEM工具iversities。“这个市场增长如此之快,”Casal说。“很快,这些工具将使用人工智能、神经网络和模糊逻辑,根据变化发现网络的潜在问题,并进行快速修复。”
吉特伦是大波士顿地区的自由技术编辑sgittlen@verizon.net.