安全路透社
当前位置:安全路透社 > 网络转载 > 正文

次世代SIEM?IBM眼中的SOAPA

soapa_by_carrotdwarf-d4msn42.png

安全信息和事件管理(SIEM)产品及服务负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件中收集安全日志数据,并进行分析和报告。有些SIEM还可以试图阻止它们检测到正在进行的攻击,这可能帮助阻止破坏或者限制成功攻击可能造成的损坏。但是这段时间SIEM似乎遇到了强有力的挑战,现在的市场在推一种名叫SOAPA的概念,有些人说它会取代SIEM,果真如此吗?《SOAPA来临,SIEM时代终结?》

如今,市场正在逐渐地往SOAPA偏移,IBM对Resilient System以及Splunk对Caspida的收购就是对这个趋势最好的见证。此外,McAfee也开始将自己的工具和生态伙伴与SOAPA技术集成起来,以及进行一些相关的收购来填补架构方面的欠缺。

在本次针对IBM 安全部总经理Marc van Zadelhoff的采访中,我们主要对SOAPA的需求、驱动力及其规模等内容进行了探讨,你可以点击观看完整访问视频,以下仅提取要点进行介绍:

什么是安全运作和分析平台架构(SOAPA)?

在过去,大多数企业使用安全信息和事件管理(SIEM)产品和服务进行安全分析和运作工作。现在,SIEM依然发挥着重要的作用,但是很多企业开始为他们的安全操作中心(SOCs)填充额外的数据、分析工具以及操作管理系统。我们现在看到的SOCs已经成为端点检测和响应工具(EDR)、网络分析、威胁情报平台(TIPs)以及事件响应平台(IRPs)的结合体。

总的来说,安全行业正被一波又一波新型传感器、不同的数据源、分析工具以及操作需求所驱动而发生着翻天覆地的变化。而这些变化又推动着整体安全技术向更全面的事件驱动软件架构(SOA2.0)变革。

于是,被ESG称为“SOAPA( a security operations and analytics platform architecture,安全运作和分析平台架构)”的平台便应运而生。

SOAPA是一个动态的架构,这意味着随着时间的推移,新的数据源和控制平面还会递增。另外,SOAPA本身就是基于SIEM开发的,除了有与SIEM类似的功能之外,SOAPA还有以下的几个功能模块:端点检测/响应工具(EDR)、事故响应平台(IRP)、网络安全分析、UBA /机器学习算法、反恶意软件沙箱以及威胁情报等。

IBM将SOAPA描述为一个“优于又次于SIEM”的架构。例如在调查和数据收集工具方面次于SIEM,但是在高级分析和操作服务,如用户行为分析(UBA)、事件响应平台(IRPs)等方面又优于SIEM。

驱动力是什么?

为什么越来越多的企业组织开始追求SOAPA,甚至一些行业分析师还唱衰SIEM,大肆宣扬“SOAPA替代论”以及“SIEM死亡论”?

对此Marc是非常清楚的。IBM的大中型企业客户一般都有很多不同的安全点工具(security point tools),无法进行有效地管理。IBM客户告诉他,在他们面临危险的威胁环境且缺乏网络安全技能团队的时候,他们不能使用一个点工具(point tools)集来保持领先的安全操作。这最后一点值得关注。

根据最新发布的2017 ESG IT消费者意向调查显示:45%的企业存在网络安全技能缺失问题。这一现状进一步驱动力SOAPA的发展。

是时候打造SOAPA标准了吗?

还不是时候。虽然IBM相信SOAPA架构对网络安全的重要意义,但是Marc认为让行业在一个标准构架上进行合作还为时尚早。他说现在行业中已经有几个SOAPA领导企业了,所以API集成目前而言是个可以接受的方法。

在采访最后,Marc表示SOAPA是网络安全“这部小说”中最激动人心的“篇章”——SOAPA有能力带来更大规模的数据收集,更好的数据扩充以及更完善的数据分析。

* 参考来源:networkworld,米雪儿编译,转载请注明来自FreeBuf.COM 

未经允许不得转载:安全路透社 » 次世代SIEM?IBM眼中的SOAPA

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册