搜狐首页 科技 法医秦明

手机搜狐

SOHU.COM

SOAPA来临,SIEM时代终结?

安全信息和事件管理(SIEM)产品及服务负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件中收集安全日志数据,并进行分析和报告。

有些SIEM还可以试图阻止它们检测到正在进行的攻击,这可能帮助阻止破坏或者限制成功攻击可能造成的损坏。但是这段时间SIEM似乎遇到了强有力的挑战,现在的市场在推一种名叫SOAPA的概念,有些人说它会取代SIEM,果真如此吗?

SIEM从2005年正式诞生到现在,也就10多年时间。这段时间内,SIEM经历了从周边安全事件关联工具到安全分析系统的演变,最后成为一枝独秀。

其早期供应商eSecurity,GuardedNet,Intellitactics和NetForensics也早已随着时光流逝不复盛况。今时今日,SIEM市场被LogRhythm,McAfee,HP,IBM以及Splunk等一些寡头垄断。

SIEM供应商概貌

而且有些激进分子认为SIEM是一种过时的的技术。他们认为,日志管理和事件关联根本无法跟上网络安全的发展的步伐。因此,我们需要新的技术来改变这种境况,比如人工智能、机器学习算法以及神经网络来对实时安全数据进行处理和分析。

还有一群“帮凶”也在无形之中给予他们支持,这群“帮凶”就是行业分析师,一些行业分析师唱衰SIEM,大肆宣扬“SIEM死亡论”。难道SIEM真的已死?其实也未必。企业的安全运行和分析需求迫切需要将以前的技术整合成一个新的东西。

SOAPA是什么?

于是乎,被ESG(Enterprise Strategy Group-企业战略集团)称作SOAPA( a security operations and analytics platform architecture -安全运作和分析平台架构)的平台应运而生。

这个平台包含类SIEM的功能,并且,SIEM本身的功能在其中仍然扮演着十分重要的角色,这些功能会将分析过的数据汇总到公共库中存储起来。与过去一枝独秀的地位不同,现在的SIEM只是SOAPA平台中的某一个组成部分。

这些技术设计需要以异步协作作为前提,这样才能让安全工程师迅速通过工具找到数据并根据需要采取行动。

SOAPA是一个动态的架构,这意味着随着时间的推移,新的数据源和控制平面还会递增。另外,SOAPA本身就是基于SIEM开发的,那么SOAPA是否本身就只是个新的营销噱头呢?实际上,除了有与SIEM类似的功能之外,SOAPA还有以下的几个功能模块:

精选