https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

資安管理吹起整合風 SIEM的下一步?

2009 / 10 / 05
張維君
資安管理吹起整合風  SIEM的下一步?

IT大廠習慣以購併來壯大自己勢力,而在資安產業除了購併之外,更重要的是產品整合,近期由幾個IT廠商的動作,更可看出端倪。早在前年RSA總裁曾說,未來安全將成為所有IT平台的必備功能而非獨立存在的附加選項。這句話點出整合的必要性。

防毒軟體廠商McAfee一直以中央控管平台ePO 為特色,日前推出4.5版,其中防制資料外洩(DLP)方案及購併Secure Computing之後的防火牆系列均已完成整合。除了整併收購進來的產品,McAfee亦透過開放式架構將第三方安全產品的事件與日誌資料匯整到ePO上,目前已有數十家廠商加入此SIA聯盟。

朝向透明化、精簡IT設備管理的複雜度是這些廠商看到的企業IT發展需求。不管是HP或去年才被引進台灣的IT搜尋引擎Splunk,在近期都紛紛以跨平台的集中整合管理為訴求。專注IT服務的HP企業系統服務事業集團(購併EDS後已更名HP事業業務集團),日前推出客製化跨平台監控解決方案PARIS(Performance Analysis Report Information System),透過IT Scorecard的建立,以及量化系統中斷對營運的衝擊分析,PARIS能統一收納異質平台的日誌資料,如應用系統、資料庫、伺服器、儲存設備、作業系統等,在系統異常時主動發出警訊。

而定位在IT搜尋引擎的Splunk,則可視為讓IT人員自行彈性運用的系統管理工具,能以搜尋引擎的概念將應用系統、硬體設備的日誌以及非正規化的資料做索引與交叉比對,再透過自定的儀表板功能做報表呈現。由於強調跨系統,因此不只是來自資安設備的資安事件監控分析,也可為營運項目的服務異常做監控分析。與現有的資安事件管理(SIEM)工具相比,前者強調關聯分析,而此工具則可自己擴增欄位以靈活彈性為特色。

整合管理的需求無疑是現在企業資安管理的重點,能做出精美報表的解決方案若只能侷限於監控單一資安設備恐怕對防護成效有限,因此未來如何跨設備、跨平台的監控及整合應是未來值得關注的焦點。