今天(2011年9月15日)看到一则新闻叫做“65% of Security Professionals Say SIEM is Dead”,很自然被吸引进去看个究竟。原来是一个标题党。看来,老美的厂商跟国内的市场宣传策略也差不多,有的人就是语不惊人死不休的样子,至少吸引了我的眼球。
说这句话的是谁呢?恰恰就是SIEM厂商——eIQNetworks,真是会给自己做广告,我也被迫宣传了他一回。事实上,通篇看下来,他搞的这个调查中,客户并没有说SIEM已死,而是说“traditional SIEM products no longer provide enterprises and government agencies with the ability to tackle modern cyber threats and insider attacks”很巧妙地,eIQ给传统的SIEM贴了一个标签——仅仅采集日志和事件信息,而给自己的SIEM产品,或者说是他们所谓的下一代SIEM产品贴了一个新的标签——Bring together all security data, from event and logs to asset, configuration, network traffic, performance, and more,并冠以态势感知。细细一看,这不是朝着国内一般定义的SOC去了吗?也没啥新意嘛。
上当的人也不止我一个,有人立即发表了质疑之声。IDS死了吗?渗透测试死了吗?呵呵。
当然,如果你仔细看eIQ的那个调查,调查结果本身还是挺有趣的。eIQ提到了三个调查后的发现:
1)基于特征(签名)的攻击检测技术已经过时【我们N早以前就知道了】。
2)需要收集所有的安全数据来解决业务问题【SOC一直在努力。。。】
3)大部分用户对他们现有的安全工具不满,对这些工具的效用持怀疑态度【永远也难满意】
