近期資安事件管理平台(SIEM, Security Information Event Management)廠商倍受矚目。本月初,McAfee與IBM不約而同購併SIEM廠商,分別是NitroSecurity以及Q1 Labs。這兩家在今年5月出爐的Gartner SIEM魔術象限報告中,都位於領先者象限中。
根據Gartner的分析報告指出,從去年以來SIEM市場表現亮眼,成長幅度達15%。主要是受惠於法規遵循的需求,尤其是PCI-DSS,美國企業希望倚賴SIEM產品的報表分析功能。而台灣市場也有同樣情形,拜個資法所賜,日誌管理產品(屬於SIEM的部份模組)也需求詢問度大增。
然而,有報表分析功能還不夠。隨著越來越多先進持續威脅(APT)攻擊案例浮上檯面,企業更寄望SIEM能有效發揮資安事件示警功能。EMC旗下RSA於今年4月購併網路封包鑑識廠商NetWitness,希望借用NetWitness的封包偵測分析能力與enVision整合,來達到APT偵測。日前在英國倫敦舉行的RSA Conference Europe 2011中,RSA執行主席Art Coviello就替自家產品廣告,聲稱3月RSA 被駭導致SecureID認證系統資料遺失事件,是靠NetWitness的監控才得以盡速補強。
SIEM與封包鑑識產品結合不止這一樁,已納入HP麾下的ArcSight在上個月也與Solera Networks合作,在最新版的ArcSight中已提高與 DeepSee的整合程度。
但是,要能偵測APT攻擊談何容易,有好的工具還不夠。根據Dark Reading的報導,要讓SIEM發現疑似偽裝成合法員工的異常存取行為,企業必須先能定義何謂正常的行為模式,對安控人員來說,SIEM系統的組態設定將更為重要。