據(jù)專家介紹，部署著老舊的安全信息和事件管理（Security Information Event Management，以下簡(jiǎn)稱SIEM）系統(tǒng)的企業(yè)正重新審視他們的硬件，有時(shí)候他們?cè)谙氲降资怯妙~外的工具來完善SIEM系統(tǒng)，還是完全替換成新的系統(tǒng)。

通信服務(wù)提供商MetroPCS Wireless公司的Gregg Woodcock發(fā)現(xiàn)，日志相關(guān)性分析是運(yùn)營(yíng)高效安全業(yè)務(wù)必不可少的一部分。

實(shí)際上，這位來自達(dá)拉斯的軟件工程師發(fā)現(xiàn)了日志相關(guān)性分析的巨大價(jià)值。他成立并維護(hù)了一個(gè)位于達(dá)拉斯的用戶群組，致力于完善免費(fèi)、開源的搜索工具Splunk。這款工具可以接收客戶交易、網(wǎng)絡(luò)活動(dòng)、通話數(shù)據(jù)等多種類型的數(shù)據(jù)，并對(duì)它們作關(guān)聯(lián)性分析，以發(fā)現(xiàn)有價(jià)值的情報(bào)。據(jù)Woodcock表示，這款工具非常受歡迎，雖然Splunk用戶群組內(nèi)的很多成員所在的企業(yè)都安裝了安全信息和事件管理（SIEM）系統(tǒng)，但他們也希望把Splunk當(dāng)作類似Google的搜索框來加強(qiáng)SIEM。

MetroPCS使用Splunk來監(jiān)控違反免費(fèi)國(guó)際電話呼叫計(jì)劃服務(wù)條款的用戶。Woodcock表示，用戶立即就能知道通話去向和費(fèi)用。人們違反服務(wù)條款——將免費(fèi)國(guó)際呼叫用于商業(yè)的行為很快就能從呼叫記錄數(shù)據(jù)中被檢測(cè)出來，并在費(fèi)用失控之前切斷通話。

“它的速度和提供信息的深度令人驚奇，”Woodcock說。“它本質(zhì)上是Google你的日志；它實(shí)時(shí)接受日志并標(biāo)出時(shí)間戳，然后你可以使用類似Unix的搜索命令集做任何事情。”

Splunk在2010年增加了對(duì)安全監(jiān)控的支持。它也可以產(chǎn)生實(shí)時(shí)警報(bào)。Woodcock說，它正被成千上萬的人用來增強(qiáng)已有SIEM系統(tǒng)，這一事實(shí)表明，很多早期部署的SIEM系統(tǒng)要么很難正確配置，要么很難給出有價(jià)值的情報(bào)。“有了Splunk，你可以輸入所有數(shù)據(jù)，在上面采用只對(duì)你有用的特定模式進(jìn)行排序和搜索，這就是一個(gè)巨變，”他說。“而其他很多產(chǎn)品，你必須作二次開發(fā)才能得到可用的數(shù)據(jù)模式。”

Bill Sielein是CISO Executive Network公司的CEO，他說，目前大部分SIEM系統(tǒng)只是用來滿足合規(guī)和提供報(bào)告功能，而且很多系統(tǒng)還繼續(xù)被部署來滿足這最小用例。Sieglein最近參加了財(cái)富1000強(qiáng)企業(yè)CISO圓桌會(huì)議，內(nèi)容包括日志管理和SIEM。他說很多CISO正在考慮是否要用更新的SIEM技術(shù)淘汰老舊的SIEM系統(tǒng)，以建立一個(gè)情報(bào)平臺(tái)。

“幾乎在每一個(gè)案例中，安裝啟用新系統(tǒng)所花的時(shí)間和經(jīng)費(fèi)都超過預(yù)想，”Sieglein說。“他們正努力更新繼續(xù)許可證，以在風(fēng)險(xiǎn)管理和情境認(rèn)識(shí)方面發(fā)掘更大價(jià)值。”

Sieglein說，早期的SIEM系統(tǒng)非常難于部署，在某些情況下要花費(fèi)兩到三年時(shí)間，還要耗費(fèi)四分之三的經(jīng)費(fèi)用于協(xié)助部署的專業(yè)服務(wù)。今天，人們更多地考慮輕量級(jí)系統(tǒng)——來自McAfee（NitroSecurity）、IBM（Q1 Labs）以及LogRhythm的SIEM平臺(tái)，這些系統(tǒng)承諾了更快的實(shí)現(xiàn)和更多易用的自動(dòng)化功能。

他說，實(shí)際投入過SIEM的企業(yè)都體驗(yàn)過歷程的艱辛。企業(yè)一旦希望審閱好日志，就不僅要雇傭大量員工從事事件監(jiān)控，還要雇人管理系統(tǒng)以防止被數(shù)據(jù)淹沒。系統(tǒng)必須要完全打好補(bǔ)丁，還需要一些明白如何編寫專業(yè)報(bào)告的人，以實(shí)現(xiàn)系統(tǒng)的價(jià)值。

“很多人抱怨，從系統(tǒng)的角度看，SIEM 1.0需要太多管理人員，”Sieglein說。“它使資源不能集中于實(shí)時(shí)觀察事件。”現(xiàn)在SIEM 2.0承諾了更快的實(shí)現(xiàn)、少得多的系統(tǒng)管理，使資源和時(shí)間能被集中用于分析警報(bào)類型并采取實(shí)際行動(dòng)。“

Chris Petersen是LogRhythm公司的聯(lián)合創(chuàng)始人和CTO，他也同意部署和維護(hù)早期的SIEM系統(tǒng)是一個(gè)惡夢(mèng)，而且這些系統(tǒng)經(jīng)常為了滿足特定的合規(guī)要求而運(yùn)行在一個(gè)糟糕的配置狀態(tài)。

Petersen說，SIEM最初被設(shè)計(jì)用來處理入侵檢測(cè)系統(tǒng)生成的大批量數(shù)據(jù)，將IDS數(shù)據(jù)裁減到可行的、更容易管理的規(guī)模。SIEM廠商不斷增加來自網(wǎng)絡(luò)層、設(shè)備層、應(yīng)用層和數(shù)據(jù)庫(kù)層的日志數(shù)據(jù)，使它越來越復(fù)雜。現(xiàn)在的焦點(diǎn)是更好地管理數(shù)據(jù)來源和自動(dòng)化分析。”今天的目標(biāo)是檢測(cè)更廣泛的來自內(nèi)部威脅的事件類型、復(fù)雜的入侵、和深嵌型泄露，以更好地取證。SIEM廠商已經(jīng)認(rèn)識(shí)到寄望于企業(yè)手動(dòng)分析日志是不可能的。

#p#

“這是個(gè)復(fù)雜的問題，從來沒有完美的解決方案；”Petersen說。“我們今天有比以往更多的信息。如果我們能通過不同的技術(shù)手段正確地、創(chuàng)造性地分析它。我們將人工智能嵌入系統(tǒng)以指導(dǎo)客戶著重調(diào)查，并有快速得到解決方案和行動(dòng)步驟的深入經(jīng)驗(yàn)。”

已故的著名網(wǎng)絡(luò)安全專家Eugene Schultz在2009年就發(fā)出警告，SIEM廠商需要解決安裝SIEM系統(tǒng)的復(fù)雜性。Schultz是SIEM技術(shù)優(yōu)越性的鐵桿信徒，他說”再優(yōu)秀的技術(shù)也可能買不出去。”大部分SIEM產(chǎn)品在初裝后需要數(shù)月時(shí)間調(diào)校，他寫了一篇博文闡述為什么SIEM市場(chǎng)不能更上一層樓。”一款熱銷的的SIEM工具竟然要求使用網(wǎng)絡(luò)上4臺(tái)獨(dú)立主機(jī)用于安裝和維護(hù)，而且一些最基本的功能也需要遍歷很多級(jí)別的菜單。排除SIEM工具的故障通常也并不容易，“他寫道。

美國(guó)人口普查局信息安全技術(shù)辦公室的助理司長(zhǎng)Bill Bradd說，現(xiàn)在考慮廣泛部署SIEM系統(tǒng)的企業(yè)需要有對(duì)SIEM產(chǎn)品實(shí)施穩(wěn)定性測(cè)試和評(píng)估的能力。這不僅是技術(shù)上的投資，也要求系統(tǒng)維護(hù)和監(jiān)控人員有足夠高的素養(yǎng)。

從大約5年前為了遵從法規(guī)而采集近150個(gè)系統(tǒng)的信息，到現(xiàn)在作為一個(gè)更廣闊的信息安全戰(zhàn)略的一部分而采集超過2800臺(tái)網(wǎng)絡(luò)設(shè)備和服務(wù)器信息，美國(guó)人口普查局已經(jīng)大大擴(kuò)展了它的Sensage SIEM系統(tǒng)的能力。Bradd說，這意味著采購(gòu)新硬件以處理大規(guī)模日志數(shù)據(jù)、與各種系統(tǒng)的管理員合作以將數(shù)據(jù)輸入SIEM系統(tǒng)、組織一個(gè)開發(fā)團(tuán)隊(duì)負(fù)責(zé)編寫腳本以接受和解析各種各樣的系統(tǒng)日志。這個(gè)SIEM系統(tǒng)可以審記來自Unix、Linux服務(wù)器、Windows事件日志、網(wǎng)絡(luò)防火墻、路由器、交換機(jī)等系統(tǒng)的日志數(shù)據(jù)。

“數(shù)據(jù)的體積始終是個(gè)問題，”Bradd說調(diào)校這個(gè)很麻煩，但人口普查局已經(jīng)成功解決了。”如果你知道應(yīng)用程序?qū)a(chǎn)生特定的警報(bào)，那調(diào)校好這個(gè)并不難。”

Bradd說人口普查局也計(jì)劃將警報(bào)發(fā)送給系統(tǒng)管理員，以便負(fù)責(zé)維護(hù)路由器和交換機(jī)的網(wǎng)絡(luò)工程師可以調(diào)查一個(gè)警報(bào)，并在72小時(shí)內(nèi)反饋這究竟是一個(gè)可在內(nèi)部糾正的事件還是一個(gè)需要報(bào)告和仔細(xì)調(diào)查的嚴(yán)重安全問題。Bradd說，這個(gè)外置系統(tǒng)已經(jīng)被用于查找配置錯(cuò)誤問題、檢測(cè)被惡意軟件感染的機(jī)器、以及跟蹤返回到用戶訪問站點(diǎn)的惡意代碼。從服務(wù)器的角度看，人口普查局的系統(tǒng)通過監(jiān)控獨(dú)立的用戶行為，可以判斷是攻擊者在暴力破解某位員工的賬號(hào)，還是某位員工忘記了自己的密碼。

“為了從工具中得到價(jià)值，你必須在人們身上投入時(shí)間、金錢、以及精力，”Bradd說道。

有跡象表明，廠商已經(jīng)在較早版本中解決了部分問題。有一家加拿大的公司在2011年2月部署了更新的LogRhythm系統(tǒng)，過程相當(dāng)順利。這家名叫Cara Operations的公司運(yùn)營(yíng)了650個(gè)餐館，其中大部分是直營(yíng)和特許經(jīng)營(yíng)的。它部署了SIEM系統(tǒng)用于監(jiān)控支付系統(tǒng)，以合乎PCI DSS規(guī)范。Cara公司的信息技術(shù)項(xiàng)目經(jīng)理Rik Steven說，“我們知道它比PCI合規(guī)走得更遠(yuǎn)，但PCI是推動(dòng)它前進(jìn)的背后力量。”

這家公司使用可管理的安全服務(wù)提供商（managed security services provider，簡(jiǎn)稱MSSP）來監(jiān)控系統(tǒng)并處理警報(bào)。MSSP全天監(jiān)控著系統(tǒng)，而Cara公司的一名IT專員則作為在內(nèi)部監(jiān)控系統(tǒng)的風(fēng)險(xiǎn)分析師。各家餐館跨越5個(gè)時(shí)區(qū)，因此非常有必要使用這個(gè)MSSP，Steven說。

一個(gè)團(tuán)隊(duì)用了大約兩個(gè)月鋪開這個(gè)系統(tǒng)，在公司的各個(gè)地方部署了軟件。Steven說，起初的幾個(gè)月信息太多了，公司必須不斷調(diào)校以“回?fù)?rdquo;并只集中于合規(guī)內(nèi)容。“它給出太多信息，你很容易就被淹沒了，”Steven說。

Steven說，“他們計(jì)劃加班擴(kuò)展這個(gè)系統(tǒng)，以生成更多報(bào)告、使用更新的功能來主動(dòng)解決已識(shí)別的問題。這已經(jīng)是一筆巨大的投資，所以我們希望確保這錢花得值，”Steven說。“它可以告訴我們一大堆的信息，但我們只是獲得了它從基本報(bào)告中產(chǎn)生的粗淺信息。”