簡化安全管理選擇SIM

申請免費(fèi)試用、咨詢電話：400-8352-114

【計世獨(dú)家】作為企業(yè)CSO，你是否面臨著各種海量日志信息的困擾？一種新的安全信息管理（SIM）工具，有望將你的這種煩惱消除。

面對日益增多的海量安全日志信息，最近出現(xiàn)的新的日志管理工具有望將人們從煩瑣的日志信息分析中解放出來。

安全信息管理（SIM）產(chǎn)品目前逐漸成為網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)中的一個關(guān)鍵部分。正因?yàn)槿绱耍宄檬裁礃?biāo)準(zhǔn)選擇SIM就變得很重要。此外，在這個迅速發(fā)展的市場中，SIM本身也在不斷演變：演變成安全事件管理器（SEM），變成安全信息/事件管理器（SI/EM）—未來不知還會變成什么。但有一點(diǎn)必須認(rèn)識到，弄清楚架構(gòu)的區(qū)別和實(shí)施需求比弄清楚行業(yè)的縮略語和產(chǎn)品名稱更重要。一股合并浪潮已經(jīng)開始席卷SIM市場。

何謂SIM？

SIM 產(chǎn)品能夠自動收集及分析來自網(wǎng)絡(luò)上所有安全設(shè)備的信息。安全管理人員沒必要查看來自防火墻、入侵檢測系統(tǒng)（IDS）、反病毒軟件、虛擬專用網(wǎng)（VPN）及其他安全系統(tǒng)的日志和報警，利用單一的SIM控制臺就能獲得所有這些信息。有些SIM產(chǎn)品只是把來自這些不同設(shè)備的報告聚合起來；有些產(chǎn)品則可以對信息進(jìn)行關(guān)聯(lián)，從而提高整體安全信息的質(zhì)量和準(zhǔn)確性。

這種數(shù)據(jù)聚合有兩大優(yōu)點(diǎn)：首先降低了安全監(jiān)控的成本，又提高了效率；其次，簡化并改進(jìn)了報告安全信息的機(jī)制，可用于審查，從而實(shí)現(xiàn)法規(guī)遵從。這些法律包括《健康保險可攜性及責(zé)任性法案》（HIPAA）、《薩班斯－奧克斯利法案》、《金融服務(wù)現(xiàn)代化法案》（GLB）和《聯(lián)邦信息安全管理法案》（FISMA）等，并報告不遵守這些法規(guī)將帶來的后果。這是促使公司加快部署SIM的幾個主要動因。

這里有必要介紹一下SIM、SEM和異常檢測軟件之間的區(qū)別。SIM系統(tǒng)往往收集來自不同的安全設(shè)備的各種信息。這些信息包括事件、報警、平常狀態(tài)以及捕獲的全部網(wǎng)絡(luò)流量。

而SEM產(chǎn)品關(guān)注的往往是事件和報警，并增強(qiáng)入侵檢測系統(tǒng)（IDS）的功能。異常檢測軟件則采用了略有不同的方法：先是檢查網(wǎng)絡(luò)，建立條件和行為基準(zhǔn)，然后報告這些模式出現(xiàn)的任何變化。

有些SIM在實(shí)際使用時采用了異常檢測技術(shù)中的技術(shù)。實(shí)際上，這三種產(chǎn)品的功能正在迅速趨向融合，但最終出現(xiàn)的這種統(tǒng)一產(chǎn)品叫什么，還有待確定。

如何選購SIM？

1．考察SIM是如何獲得信息的。

一個基本的問題是，SIM是依賴安裝在網(wǎng)絡(luò)上的代理程序（有時叫監(jiān)控程序或者探測程序）還是從現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)生成的日志文件和SNMP事件中獲得信息？如果SIM產(chǎn)品依賴自己的代理程序，把進(jìn)來的信息與事件處理緊密地聯(lián)系起來，效率就要高一點(diǎn)。如果SIM產(chǎn)品依賴日志文件和SNMP事件，它的覆蓋面就要廣得多（不過你必須確信它能處理網(wǎng)絡(luò)設(shè)備生成的日志文件），部署成本也比較低。

有些產(chǎn)品綜合利用這兩種架構(gòu)，既接受處理日志文件，又使用自己的專用代理程序。你要看一下自己網(wǎng)絡(luò)的架構(gòu)，弄清楚哪一種方法能夠?yàn)镾IM提供最大的可靠性。

2． 考察信息將在何處進(jìn)行處理。

在各種規(guī)模的網(wǎng)絡(luò)上，SIM都能處理大量的數(shù)據(jù)。想知道某個SIM產(chǎn)品能不能處理網(wǎng)絡(luò)生成的大量數(shù)據(jù)，關(guān)鍵在于要知道數(shù)據(jù)具體在哪里被處理？如何被處理？幾乎所有的SIM產(chǎn)品都有兩個主要部件用于創(chuàng)建及顯示信息：SIM設(shè)備本身、在遠(yuǎn)程工作站上運(yùn)行的應(yīng)用程序。如果所有信息都不得不在主設(shè)備或在工作站中進(jìn)行處理，那么一旦網(wǎng)絡(luò)流量變大或事件的密度變得很大，性能就會成為問題。向廠商詢問一下數(shù)據(jù)在何處被處理、是不是由兩個（或更多）系統(tǒng)共同進(jìn)行處理，就變得非常必要。延遲的安全信息會導(dǎo)致你成為被攻擊的對象，而原本你是可以躲過這種攻擊的。

3．考察信息將如何進(jìn)行關(guān)聯(lián)。

所有SIM產(chǎn)品都能獲得來自網(wǎng)絡(luò)上許多信息源的信息。有些產(chǎn)品可以收集來自外部信息源的信息，這些外部信息源包括公共威脅識別服務(wù)和專有的關(guān)聯(lián)網(wǎng)絡(luò)。有了 SIM產(chǎn)品，安全工程師不需要為了查看日志文件而在工作站上打開93個窗口；另外，在很大程度上，SIM產(chǎn)品還能查找網(wǎng)絡(luò)流量模式，由此增添了新價值。這項工作需要SIM的兩大功能：一是能夠收集來自不同地方的數(shù)據(jù)；二是具有智能，可以把所有這些數(shù)據(jù)轉(zhuǎn)變成有意義的信息，兩者缺一不可。正如SIM產(chǎn)品獲得來自網(wǎng)絡(luò)上所有重要設(shè)備的信息一樣，關(guān)聯(lián)數(shù)據(jù)也會來自你信任的信息源。

4．考察報告是如何生成的。

接到通知、得知網(wǎng)絡(luò)上出現(xiàn)了未授權(quán)活動是一回事，說服不大精通安全的網(wǎng)絡(luò)管理員對此采取相應(yīng)的行動則完全是另一回事。你希望SIM產(chǎn)品能夠生成報告來支持你要采取的行動——而且能迅速生成報告。如果產(chǎn)品本身帶有內(nèi)置的報告，你只要修改一下，就能提供專門針對公司及相應(yīng)事件的信息，那么你就大大領(lǐng)先了一步。

說到審計以便遵守法規(guī)，內(nèi)置的報告是極其重要的，因?yàn)檫@可以大大節(jié)省時間。如果你知道審計部門需要的格式，那么無論如何都要事先問一下這些報告是否包含在你所考慮購買的SIM當(dāng)中。某些審計報告可用于法規(guī)遵從，這本身就證明有必要購買SIM系統(tǒng)。

5．考察SIM如何查看重點(diǎn)事件。

報告在許多情況下都很重要，不過說到日常的安全分析，人們會把大量的時間用于分析SIM顯示的數(shù)據(jù)。界面整潔、組織有序的窗口以及深入分析按時間、嚴(yán)重性和類型報告的事件等功能，將關(guān)系到是否能提高用戶的工作效率？關(guān)系到按照指定的標(biāo)準(zhǔn)來分析流量有多容易？關(guān)系到客戶端中的引擎在指定的時間段內(nèi)查找信息有多容易？關(guān)系到查看某些地址之間或某些客戶端之間的信息交流是容易還是困難？

正如任何產(chǎn)品一樣，你希望產(chǎn)品擁有易于定制的屏幕，能自動進(jìn)行分析，以滿足你的要求。

６．考察SIM如何與其他應(yīng)用共享信息。

毫無疑問，SIM產(chǎn)品是安全基礎(chǔ)架構(gòu)中的一個重要部分，但它無法單獨(dú)使用。你需要其他軟硬件來處理SIM產(chǎn)品發(fā)現(xiàn)的事件；如果SIM產(chǎn)品本身能夠處理與網(wǎng)絡(luò)中其他安全設(shè)備之間的關(guān)系，用戶的任務(wù)就會輕松一些。你在物色SIM產(chǎn)品時，要考慮以下的事情：希望安全人員如何使用自動化系統(tǒng)？系統(tǒng)如何處理盡可能多的事情？系統(tǒng)能通知工作人員采取什么動作？是否希望系統(tǒng)提供智能幫助的同時，能讓工作人員負(fù)責(zé)控制？

有些SIM產(chǎn)品采用其中的一種工作方式，或者多種方式兼而有之：開始由人員來控制；等人員對產(chǎn)品功能越來越熟悉后，慢慢地將更多的權(quán)力交給系統(tǒng)。因此要問一下廠商將采用哪種方式，以便采購的產(chǎn)品能符合部署的目標(biāo)。

7. 考察SIM產(chǎn)品的安裝及配置有多容易。

這方面根本無法預(yù)知。與幾乎任何一類硬件或者軟件一樣，有些SIM產(chǎn)品安裝起來比較容易；而有些則需要大量時間才能安裝完成。在大多數(shù)情況下，部署SIM產(chǎn)品需要兩項耗時的任務(wù)：讓SIM產(chǎn)品收集來自網(wǎng)絡(luò)的信息；讓人員收集來自SIM產(chǎn)品的信息。

把信息提供給SIM產(chǎn)品的難度并不一樣，這取決于SIM產(chǎn)品是否收集日志文件、是否收集來自自身探測程序的數(shù)據(jù)，或者同時收集來自兩者的信息。最初的工作量或多或少依賴于SIM產(chǎn)品收集信息的程度：SIM產(chǎn)品對網(wǎng)絡(luò)上的所有設(shè)備進(jìn)行掃描嗎？還是只探測網(wǎng)絡(luò)信息流來查找事件、資產(chǎn)和可疑的流量？

同樣，對安全監(jiān)控及分析進(jìn)行配置的工作量可能也大不一樣，具體取決于每款SIM產(chǎn)品的自動化功能有多強(qiáng)。有些SIM產(chǎn)品能夠自行完成配置，基本上不需要人員干預(yù)。有些產(chǎn)品卻需要你逐步完成冗長的配置。后者需要更多的時間，不過好處是，這種系統(tǒng)從開始就能幫助獲得專門針對自己需要的信息。