一直以來，企業使用安全信息和事件管理系統（SIEM）主要是為了滿足PCI DSS和其它法規的合規報表要求。但是基礎架構廠商們正在努力開發新的更為強大的SIEM平臺，能讓IT團隊對系統數據進行分析。

Forrester Research公司（位于馬薩諸塞州劍橋）首席分析師John Kindervag談道，不斷增長的網絡為網絡犯罪們創造了更為廣泛的攻擊面，早期部署的SIEM只能夠從少部分的設備中收集日志，現在它們已經發展為支持大量的網絡設備。Kindervag說，盡管廠商們把賭注壓在了更為強健的SIEM平臺上，但企業是否有資金和專業技術來做這種強大的事件關聯（event correlation）從而理解網絡上的威脅仍是個未知數。

根據Forrester一項對157個組織IT決策者的調查，超過80%的SIEM產品部署主要是為了滿足合規要求的生成報表的能力。少于40%的被訪問者表示他們的組織使用該產品技術的事件關聯能力。

“SIM產品是由PCI合規要求所驅動的報表工具，如果沒有PCI的出現，它根本不會存在” Kindervag說道，“人們被事件關聯的概念所迷惑，但是在真實世界部署時它工作的情況卻不是那樣”。

日志管理廠商LogLogic公司對San Jose市進行的調查發現，當前系統生成的報表主要服務對象是IT審計人員、CIO和其他C級別的主管（如CEO、 CFO、COO等）。但是調查報告推斷SIM產品會成為用于全面深入分析IT數據的基石。

Q1 Labs公司的CEO Brendan Hannigan確信公司的顧客想從他們的SIEM產品部署中得到更多的東西。Hannigan所在的公司最近剛被IBM收購，他將會領導一個新的部門來整合IBM所有的安全產品。有Q1公司的SIEM平臺作為基礎，IBM計劃將它的數據庫安全、終端管理、網絡安全和應用安全產品捆綁在一起，并且用分析功能來加強它們，以從這些系統中得到更多可操作的數據。

Hannigan表示，“在安全界有一個本質的變化正在發生，就是關注點從解決特定工作的單個產品轉移到更為廣闊的內容”。

防火墻、IPS和數據庫以及應用服務器產生的大量數據能幫助組織更好地理解他們的網絡威脅，從而最終讓CISO（首席信息安全官）們做出更為明智的安全決策。據分析師們看來，正是需要更為強勁的分析引擎來從所有這些數據中找出有價值的東西，才驅動了大型的基礎設施廠商如IBM和HP獲得SIEM系統。

HP十分看好這項技術，因此在2010年花費15億美元收購了算是這個領域的領先者——ArcSight公司。EMC公司的安全事業部、RSA公司正在將它的EnVision SIEM系統與它新收購的NetWitness公司的網絡監控平臺進行整合，為SIEM數據增添了網絡背景和分析能力。

分析師們同意許多早期的SIM廠商可能不具備對不同的數據來源進行分析所需的處理能力。Gartner公司的副總裁兼著名的分析師Mark Nicolett說道，可擴展性正在成為SIEM系統最為重要的能力之一。Nicolette表示，能夠大規模地支持異構的事件來源的SIEM平臺更能維持牢固的市場占有率。

Gartner公司認為，SIEM系統應該能更為有效地收集日志并具備實時監控的能力。Nicolette說，“如果廠商不具備兩者，他們終究會只能處在市場的邊緣”。

EMC公司的安全事業部，RSA公司的安全管理和合規業務部的高級副總裁兼總經理Amit Yoran說道，SIEM系統擅長于收集日志，但是他們需要工具來幫助分析師們用數據來揭示事故的各個方面、或是找到引起擔憂的異常事件。

“隨著復雜攻擊和高級威脅的出現，你當前的評估不能只限于你在這一刻所看到的流量”，Yoran說，“某個行為在隔離時看可能不會觸發告警，但是當你在一定背景下看到它時，就會變得很有趣了”。

Yoran談到，NetWitness公司的前CEO正在監督將其產品集成到RSA的SIEM平臺EnVision中，將在有效地保存大量數據、理解多種多樣的日志格式和協議方面大放異彩。同時，Yoran表示他認為對于組織來說，SIEM系統成為強大的工具是切合實際的。

“我不認為那些只能收集所有與安全分析相關的關鍵信息的單個數據倉庫會繼續存在下去”，Yoran說，“但這個一應俱全的大家伙對于大型的企業來說，運作起來似乎不太可行”。

企業可能開始只記得滿足合規要求，但是如果當在兩個產品中進行選擇時，一個是只在日志管理方面強大的SIEM系統，一個是設計用來日志管理且能實時監控的系統，大多數的組織會看到監控的價值，除非在價格方面有巨大的差異。Nicollete談到，他正在密切地觀察HP ArcSight公司，因為HP保留了ArcSight的核心開發團隊，能讓該SIEM廠商快速用新功能迎合市場。他認為，在HP公司的支持下，ArcSight公司在支持大規模部署方面表現得更為出色。

HP公司安全部門的副總裁、即ArcSight公司的原CEO Tom Reilly談到，SIEM產品應該是企業安全方案的集成化平臺。就像RSA和IBM公司那樣，HP也正在開發工具，通過慢慢地融合ArcSight的SIEM平臺的分析能力，讓企業更好地審視網絡中的威脅。他表示這一切都與網絡識別（network awareness）有關。

“如果你相信每個公司都必須轉向獲得安全的可視性，那他們都需要在SIM產品上投入”，Reilly說。“我聽到關于復雜性和費用的這些抱怨，但是我聽到更多成功實施的案例，與其抱怨，現在更適合來重視集成化并為其預熱，以及易于使用”。

Reilly說HP公司正在致力于讓IPS與日志收集成為開箱即用（out-of-the-box）的用戶體驗，目標是瞄準那些只有有限IT職員和經驗的公司，通過提供用于集成的預置接口。

McAfee公司的風險與合規高級主管Martin Ward說道，為了擁有開箱即用的能力，McAfee公司本月收購了NitroSecurity公司，并且開始將NitroView系列產品融合到ePolicy Orchestrator 套件當中。McAfee公司和NitroSecurity公司一直有著密切的聯系，McAfee看中了它的私有數據庫，其能提供關聯和剖析能力，這與其它SIEM廠商相比，是非常強大的能力。

“NitroSecurity的速度是頂尖的”，Ward說，“現有的SIEM廠商需要花費數個小時運行的報表， Nitro在幾分鐘內就能做到”。

Forrester公司的Kindervag說道，SIM產品的未來似乎是帶有強力分析工具的數據倉庫技術（data warehousing technology），能幫助IT團隊“嚼碎”海量的數據。

“真正的以事實，而不是推測為依據做出更好的決策”，Kindervag說道，“如果IT部門能從他們的系統得到可操作的數據并且使用好它，我們可以展望更多與業務層面保持一致的決策，并基于風險影響來解決威脅”。

【編輯推薦】

1. 僵尸攻擊 您的數據中心災難恢復計劃準備好了嗎？
2. Imperva針對Microsoft SharePoint推出數據安全產品
3. Chinasec走進肇慶移動 構建數據安全新體系
4. SONICWALL推出應用流量分析工具套件
5. 小心你的WEB應用程序成為數據竊賊的幫兇