迈克菲将重新定义企业安全SIEM

大多数安全信息事件管理系统都可以识别威胁,但是它们可以'删除它们。这一切都是公牛's eye on a 首席信息官's back. McAfee'新的Enterprise Security Manager迈出了下一步,并向企业展示了如何应对这些威胁。

几年前,在IBM的一次会议上,我们中的许多人指出IT过于注重备份速度而没有足够的恢复能力。当时一些最快的备份产品在实际取回文件方面做得很差。对我们来说,备份的重点是能够恢复丢失的文件。

安全信息事件管理 (SIEM)软件着重于识别威胁,而不是消除威胁。因此,大多数IT经理都有充分理由避免使用SIEM产品。

好吧,迈克菲(McAfee)只是尝试通过 最新版本的企业安全管理器(ESM).

大多数SIEM软件都能识别问题,但无法解决

SIEM听起来像一个好主意:对所有潜在产品进行分类和识别的一类产品 企业内部的安全威胁。您再也不会怀疑自己有多安全。有了一点钱和精力,您最终将知道您实际上是多么不安全。

为什么IT高管对这些产品大喊大叫?考虑一下:这些系统将生成一份报告,突出显示公司中的每个安全隐患-但是它们不会产生预算或解决问题的能力。 SIEM不能使公司受益,而只是成为确保IT知道问题但无法及时纠正的一种很好的方法。

说到威胁…: 在太晚之前就将Java拔掉

有关: 不要介意安全产品,要教育用户

虽然我敢肯定很多CIO偶尔会希望他们选择不同的职业道路,但是几乎可以确保其职业道路发生灾难性变化的产品不会让他们感到非常兴奋。对没有您要修复的资源的所有问题进行分类的产品没有什么用处。与无法恢复的快速备份产品的开头示例一样,不包括补救措施(无法解决所发现的问题)的SIEM对内部审计人员而言毫无价值。

McAfee的目标:切实解决问题

迈克菲显然已经意识到了两件事:试图销售将目标放在首席信息官身上的产品将是一项短暂的努力,而不能解决其发现的问题的SIEM产品将不会特别畅销。因此,其最新产品侧重于实际攻击,而不是暴露,并且包括补救组件,该组件很可能首先停止进行中的攻击然后再消除它。

接触是一回事。我们生活在一个世界上,政府级军事组织通常由我们自己的政府提供资金,用于 渗透我们的安全,而这些组织显然无法保护自己。与过去相比,这可能导致对客户和企业声誉造成更大影响的违规行为。

新闻: 约翰·迈克菲(John McAfee)提出反监视“ D-Central”路由器以击败NSA

McAfee的ESM通过积极寻找可能表明正在进行攻击的行为来收集企业情况信息并提供有关情况的信息。然后在几分钟之内,它不仅提供定义攻击的信息,而且还提供建议的响应。至关重要的是,它还可以访问需要进行调整以阻止攻击的系统。 ESM并没有将目标放到CIO的背面,而是提供了将黑客变成目标并消除攻击的工具。

有了好的SIEM工具,一切都与补救有关

该公司使用的是老式SIEM产品,使我想起了这位病人,他的医生提供了他所有问题的综合清单,然后拍了拍他的头,说“祝你好运!”没有讨论如何降低血压,减肥等。大多数公司已经知道他们有很多风险敞口,没有足够的资金来纠正。他们什么 需要 知道正在利用哪些工具,以及使用哪些工具来阻止攻击。

报告: 浏览器对企业构成最大威胁

这还远没有结束。未来的工具可能不仅会提供全面的曝光,而且会在它们甚至无法攻击之前自动消除它们。在此之前,McAfee的ESM产品似乎是同类产品中最好的,值得一试。

持久的教训:正如备份主要是关于恢复一样,SIEM应该主要是关于补救。这就是证明购买合理性的过程。

罗伯·恩德勒是该公司的总裁兼首席分析师 恩德勒集团。在此之前,他是Forrester Research和Giga Information Group的高级研究员。在此之前,他曾在IBM工作,并担任过内部审计,竞争分析,市场营销,财务和安全方面的职位。目前,Enderle为各种出版物撰写有关新兴技术,安全性和Linux的文章,并出现在包括CNBC,FOX,Bloomberg和NPR在内的国家新闻电视节目中。

在Twitter上关注CIO.com的所有内容 @CIOonline, 脸书, 谷歌 +领英.

版权© 2013 IDG通讯,Inc.