Systemy SIEM w organizacjach
- Patryk Królikowski,
- 15.04.2013
Systemy klasy SIEM (Security Information and Event Management) na dobre zadomowiły się w większości dużych organizacji w Polsce. Mniejsze przedsiębiorstwa również coraz częściej zaczynają patrzeć na systemy tego typu jako na niezbędne narzędzie pracy własnych działów bezpieczeństwa. Nie jest to bowiem technologiczna fanaberia, ale realna potrzeba wynikająca z konieczności poradzenia sobie z ogromem napływających zewsząd informacji.
Pomimo pewnej dojrzałości naszego rynku, w dalszym ciągu zdarzają się duże firmy, które dopiero stają w obliczu dokonania wyboru rozwiązania tej klasy. To z jednej strony dobrze, bo narzędzie tego typu jest potrzebne, ale z drugiej niepokojące. Rodzi się bowiem pytanie, w jaki sposób realizowany był proces korelacji informacji pochodzących z wielu źródeł?
Czym jest obecnie SIEM?
Historycznie patrząc na rozwiązania SIEM można powiedzieć, że wyrosły one z połączenia dwóch typów systemów - SEM (Security Event Management) oraz SIM (Security Information Management).
Przykład hipotetycznego scenariusza korelacyjnego
Spójrzmy zatem na to, jak obecnie kształtuje się oferta rynku SIEM oraz w jaki sposób podejść do zagadnienia wykorzystania tych rozwiązań w sposób optymalny.
Na rynku rozwiązań SIEM w ostatnim czasie całkiem sporo się dzieje. Mamy wiele akwizycji - ArcSight to już HP, QRadar (dawniej z Q1 Labs) to teraz IBM, NitroSecurity to McAfee, a NetIQ to Novell. Ostało się też paru "starych" wyjadaczy tego segmentu, jak np. Symantec (Security Information Manager) czy Splunk. Trochę zamieszania było wokół innego znanego gracza - RSA, oferującego EnVision i spekulacji na temat wycofania tego narzędzia, a wszystko za sprawą wypuszczenia niedawno następcy EnVision - nowej platformy Security Analytics.