首页>新闻动态>远征动态

远征动态

  安全信息和事件管理(SIEM)产品及服务负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件中收集安全日志数据,并进行分析和报告。有些SIEM还可以试图阻止它们检测到正在进行的攻击,这可能帮助阻止破坏或者限制成功攻击可能造成的损坏。但是这段时间SIEM似乎遇到了强有力的挑战,现在的市场在推一种名叫SOAPA的概念,有些人说它会取代SIEM,果真如此吗?《SOAPA来临,SIEM时代终结?》

  如今,市场正在逐渐地往SOAPA偏移,IBMResilient System以及SplunkCaspida的收购就是对这个趋势最好的见证。此外,McAfee也开始将自己的工具和生态伙伴与SOAPA技术集成起来,以及进行一些相关的收购来填补架构方面的欠缺。

  在本次针对IBM 安全部总经理Marc van Zadelhoff的采访中,我们主要对SOAPA的需求、驱动力及其规模等内容进行了探讨,你可以点击观看完整访问视频,以下仅提取要点进行介绍:

  什么是安全运作和分析平台架构(SOAPA)?

  在过去,大多数企业使用安全信息和事件管理(SIEM)产品和服务进行安全分析和运作工作。现在,SIEM依然发挥着重要的作用,但是很多企业开始为他们的安全操作中心(SOCs)填充额外的数据、分析工具以及操作管理系统。我们现在看到的SOCs已经成为端点检测和响应工具(EDR)、网络分析、威胁情报平台(TIPs)以及事件响应平台(IRPs)的结合体。

  总的来说,安全行业正被一波又一波新型传感器、不同的数据源、分析工具以及操作需求所驱动而发生着翻天覆地的变化。而这些变化又推动着整体安全技术向更全面的事件驱动软件架构(SOA2.0)变革。

  于是,被ESG称为“SOAPAa security operations and analytics platform architecture,安全运作和分析平台架构)”的平台便应运而生。

  SOAPA是一个动态的架构,这意味着随着时间的推移,新的数据源和控制平面还会递增。另外,SOAPA本身就是基于SIEM开发的,除了有与SIEM类似的功能之外,SOAPA还有以下的几个功能模块:端点检测/响应工具(EDR)、事故响应平台(IRP)、网络安全分析、UBA /机器学习算法、反恶意软件沙箱以及威胁情报等。

  IBMSOAPA描述为一个“优于又次于SIEM”的架构。例如在调查和数据收集工具方面次于SIEM,但是在高级分析和操作服务,如用户行为分析(UBA)、事件响应平台(IRPs)等方面又优于SIEM

  驱动力是什么?

  为什么越来越多的企业组织开始追求SOAPA,甚至一些行业分析师还唱衰SIEM,大肆宣扬“SOAPA替代论”以及“SIEM死亡论”?

  对此Marc是非常清楚的。IBM的大中型企业客户一般都有很多不同的安全点工具(security point tools),无法进行有效地管理。IBM客户告诉他,在他们面临危险的威胁环境且缺乏网络安全技能团队的时候,他们不能使用一个点工具(point tools)集来保持领先的安全操作。这最后一点值得关注。

  根据最新发布的2017 ESG IT消费者意向调查显示:45%的企业存在网络安全技能缺失问题。这一现状进一步驱动力SOAPA的发展。

  是时候打造SOAPA标准了吗?

  还不是时候。虽然IBM相信SOAPA架构对网络安全的重要意义,但是Marc认为让行业在一个标准构架上进行合作还为时尚早。他说现在行业中已经有几个SOAPA领导企业了,所以API集成目前而言是个可以接受的方法。