Platformy SIEM (Security Information and Event Management) służą do ciągłego monitorowania zdarzeń, gromadząc dane z rozproszonych logów w jednym centralnym miejscu, gdzie mogą być monitorowane, raportowane oraz oczyszczane z szumu informacyjnego. Taka centralizacja ma zapewniać wiedzę o bieżącej sytuacji, niezbędną do efektywnego zarządzania ryzykiem operacyjnym IT. Jednak komunikat prasowy z najnowszych badań jednego z dostawców narzędzi SIEM, firmy eIQ Networks, przeprowadzonych wśród specjalistów od bezpieczeństwa z dużych firm oraz instytucji państwowych, stwierdza, że SIEM odchodzi już do lamusa, dołączając m.in. do technologii opartych na sygnaturach.

Zdania podzielone

Według wiceprezesa eIQ, Johna Linkousa, podejście polegające na całkowitym oparciu się na logach (i innych informacjach powiązanych ze zdarzeniami), w celu efektywnego rozpoznawania dzisiejszych zagrożeń w przedsiębiorstwie, jest już nieskuteczne. W to miejsce poleca on produkt eIQ o nazwie SecureVue, który ma być zunifikowaną platformą "świadomości sytuacyjnej" (SA - situational awareness), mającą zapewniać odpowiednie zabezpieczenia oraz informacje w czasie rzeczywistym, niezbędne do zidentyfikowania, określenia priorytetu i reakcji na współczesne zagrożenia bezpieczeństwa.

Zobacz również:

• Priorytety zarządzania bezpieczeństwem
• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania

Inni eksperci od spraw bezpieczeństwa nie podzielają jednak opinii o spodziewanym "zgonie" SIEM. Według nich takie przepowiednie to zwykły szum marketingowy. Specjalista Gartnera, Anton Chuvakin, uważa, że żaden pojedynczy środek bezpieczeństwa samodzielnie nie jest wystarczający, a SIEM jest rozwiązaniem nadal potrzebnym. Nie jest to narzędzie przeznaczone do powstrzymywania działań hakera czy czegokolwiek - jest to technika monitorowania, która wciąż jest efektywna i to coraz bardziej.

Linkous, zgadzając się z opinią o przydatności SIEM twierdzi, że główną jego wadą jest brak możliwości zapewnienia ochrony przed dzisiejszymi zagrożeniami, która jest tak potrzebna przedsiębiorstwom.

Nie koniec, a ewolucja

Dyskutanci zgadzają się co do tego, że SIEM stanowi podstawę platform świadomości sytuacyjnej. Obie strony zgadzają się także, że funkcjonalność SA nie jest takim elementem oprogramowania, który może być w prosty sposób "doczepiony" do systemu w celu zapewnienia lepszego bezpieczeństwa. SIEM jest produktem ukierunkowanym, z zamkniętym zestawem funkcji i celów. Świadomość sytuacyjna (SA) jest funkcjonalnością o szerszym zakresie, która wykorzystuje SIEM, ale korzysta także z szeregu innych narzędzi.

Taki jest też punkt widzenia użytkownika. Nicholas Brigman, specjalista od strategii bezpieczeństwa w firmie CompuCom Systems, od paru lat korzysta z SecureVue w obsłudze kilku swoich klientów i teraz planuje szersze wykorzystanie tego narzędzia. Uważa on, że użytkownicy oczekują funkcjonalności tego rodzaju: nie tylko zarządzania logami i nie tylko SIEM, ale także możliwości przyglądania się wzorcom pracy sieci. Nowe narzędzie pozwala właśnie wykonać to w sposób zintegrowany.

Z tych wszystkich różnych opinii i stanowisk można więc wysnuć wniosek, że nie jesteśmy świadkami końca SIEM, tylko procesu nieustannej ewolucji środków bezpieczeństwa.