收集和解读数据洞察以制定可用的解决方案是强大网络安全策略的基础。然而,组织正淹没在数据中,这使得这项任务变得复杂。
传统的安全信息和事件管理 ( SIEM ) 工具是组织尝试使用的一种方法,但由于成本、资源和可扩展性等几个原因,这些工具往往无法满足要求。
市场上不乏提供替代方案的供应商。然而,在众多潜在安全解决方案和供应商中寻找出路却越来越困难。您如何才能真正知道最佳解决方案是什么?您如何确定什么是适合您组织的最佳选择?
为帮助做出这一决定,需要关注一些关键因素。要了解这些因素,您必须首先了解当今组织面临的挑战、传统解决方案的不足之处,以及在做出购买决定时向潜在供应商提出哪些问题的关键指导。
传统 SIEM 面临的挑战
许多安全团队发现,从不同来源收集大量数据非常困难。收集这些信息至关重要,这样 SIEM 才能快速检测威胁并做出相应响应。然而,随着数据量的增加,成本也会增加,有时甚至过高。
使这变得更加困难的是,合规性要求可能要求数据驻留在某些地理位置或云中。这会增加额外的成本和复杂性,需要使用加密、访问控制和保留策略来正确保护和分析这些数据。
当组织缺乏对其所有关键数据的全面可见性时,其有效执行 SecOps 的能力就会动摇——尤其是在企业规模上,因为成本可能会突然飙升。
当组织寻求利用和解读数据洞察以制定可行的解决方案时,他们需要将大量不同的数据整合在一起。许多组织已求助于 SIEM,但他们仍在苦苦挣扎。
这是因为传统 SIEM 面临一些常见挑战,包括成本、可扩展性、缺乏统一视图和信息过载。
根据最近的一份报告,50% 的受访者对他们的 SIEM 表示不满意,主要原因是可扩展性、成本和数据管理。
下一代 SIEM
许多组织发现传统的 SIEM 不够用,成本的增加促使一些组织限制数据采集以减少开支。
例如,一些组织可能会避免将他们的终端检测和响应 (EDR) 数据带入 SIEM 以降低成本,但这是一个重要的数据源;没有它,他们的工作就不会那么有效。
组织不应该根据成本来选择要引入哪些数据以及不能引入哪些数据;这最终违背了全面解决方案的意义。
SecOps 团队需要一种能够从任何格式或来源提取关键数据并实时提取有意义上下文的解决方案。而且他们需要以一种灵活且能与其他现有技术投资配合的方式完成这项工作,而无需支付任何隐性成本。
如今,我们有了更好的方法——但如何从众多选择中评估它们却是一个挑战。
评估新的 SIEM
当您的 SIEM 解决方案不再发挥其预期价值时,就该更换了。您需要提出一些问题,以确保您的组织能够获得最能满足您的安全目标的解决方案。在评估新解决方案时需要考虑的一些重要事项包括:
该解决方案是否能够优化我的数据和/或优先考虑我们的数据源,以节省成本并提高可见性?
其中包括哪些风险优先排序能力?
此解决方案为我提供了多少灵活性?例如,我可以选择自己的数据湖吗?
这家 SIEM 供应商是否全面了解可扩展性? 企业需要一种能够满足他们当前和未来需求的解决方案,但并非所有供应商都能提供这种解决方案。了解供应商的承诺以及计划如何兑现这些承诺非常重要。
该解决方案是否提供了透明度和对成本的详细了解? 很多时候,当涉及到他们认为自己应该支付的费用与实际支出的费用时,组织会感觉自己被诱骗了。
我的部署选项有哪些? 组织需要部署选项(本地、私有云、公共云和 SaaS),因为这不是一刀切的情况。例如,一些组织可能出于各种原因而必须部署本地,但一些 SIEM 供应商只提供云选项。
相反,其他组织可能采用云优先策略,其中可能涉及公共、私有或混合场景以及 SaaS - 并非所有 SIEM 供应商都适合所有这些环境。无论部署类型如何,公司都需要一种可以根据业务需求扩展的解决方案。
最重要的是,改变很难,这就是为什么许多组织即使对现有 SIEM 解决方案不满意,也会继续使用。在考虑新解决方案时,请确保供应商将为您的组织提供明确的迁移路径。
寻找现代 SIEM
组织必须具备数据洞察力,才能制定全面的安全策略。传统 SIEM 无法处理当今的数据量或不断演变的威胁。采集成本很高,导致数据优先级决策困难,并且情况不完整。SecOps 团队正在努力解决分散数据带来的可见性差距和运营效率低下的问题。
结果是,组织最终会拥有昂贵、资源密集的系统,而且很难甚至不可能扩展。为了安全起见,这种情况必须改变,因此您需要知道要向供应商询问哪些问题。在寻找可以成为真正安全合作伙伴的 SIEM 时,请参考上述列表。
