完美世界国际版下载,盗墓笔记小说,魔天记忘语小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

思科MARS：第三方的兼容問題對SIEM產(chǎn)品而言意味著什么

2009年11月，思科股份有限公司宣布，其公司生產(chǎn)的MARS安全信息和事件管理（SIEM）產(chǎn)品不再與第三方的產(chǎn)品兼容。這樣一來，企業(yè)在選擇SIEM產(chǎn)品時是否還會考慮MARS，或者說這種供應商鎖定的做法是否會帶來高成本呢？這就是該篇文章將要討論的問題。

創(chuàng)新互聯(lián)建站堅持“要么做到，要么別承諾”的工作理念，服務領域包括：網(wǎng)站設計制作、成都網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務，滿足客戶于互聯(lián)網(wǎng)時代的大渡口網(wǎng)站設計、移動媒體設計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡建設合作伙伴！

首先，補充一點背景知識：何為MARS系列產(chǎn)品？引用思科的常見問題（FAQ）回答中的話，它是供應商的安全監(jiān)測、分析和響應系統(tǒng)，簡寫為MARS（Monitoring, Analysis and Response System）。該產(chǎn)品“以設備為基礎，具有全套解決方案，允許網(wǎng)絡和安全管理部門檢測、識別、隔離和對抗安全威脅?！?從本質(zhì)上來說，MARS是思科開發(fā)的進行統(tǒng)一安全監(jiān)測和緩和的平臺，引導思科安全產(chǎn)品組合內(nèi)的設備相互交互，及時（有時候甚至是是實時）解決安全威脅。

MARS是思科開發(fā)的、基于日志管理的系列產(chǎn)品之一。傳統(tǒng)的日志管理平臺，提供一個中央存儲庫采集來自于服務器、防火墻、交換機、路由器，甚至Web服務上的安全事件。大多數(shù)日志管理平臺具有強大的解析引擎，能夠觸發(fā)預先設置的搜索標簽上的警報。這些搜索標簽是特別定做的，具有大量的正則表達匹配。舉例來說，在以下情況，搜索標簽可以觸發(fā)警報：系統(tǒng)中的賬戶被創(chuàng)建或者取消，設備的配置被修改或發(fā)生系統(tǒng)故障。這種方式可以高效率地追蹤系統(tǒng)或安全事件。這些平臺同樣配有預先配置的警報包，能夠幫助組織應對PCI DSS（數(shù)據(jù)安全標準）一類的規(guī)則遵從要求。

MARS有何不同呢？首先MARS是一種SIEM產(chǎn)品，與其他的 SIEM產(chǎn)品類似。它具有最基本的日志管理性能，能夠?qū)亩嗵幨占瘉淼陌踩录M行智能的威脅分析和緩解。通過一個列子，或許能夠更好的理解MARS是如何在企業(yè)中運行的。既然思科的產(chǎn)品是我們所關注的，所以這個例子應該是以思科為中心的。

比方說，公司A希望能夠獲得最新的安全威脅資訊，并擁有強大的安全基礎設施，能夠了解到自身網(wǎng)絡的各個部分。公司A還配置了具有入侵防御系統(tǒng)的防火墻，還部署了能提供傳統(tǒng) URL（統(tǒng)一資源定位符）和對惡意軟件信息進行信譽過濾的Web安全網(wǎng)關。這個結(jié)構可以通過配置端點安全產(chǎn)品來擴大。端點安全產(chǎn)品擁有以主機為基礎的入侵防御系統(tǒng)；具有可接受的使用政策和傳統(tǒng)的反病毒程序保護。為避免未授權系統(tǒng)與其網(wǎng)站連接，公司A也使用了網(wǎng)絡準入控制（NAC）系統(tǒng)。最后，公司A在服務提供商上運行電子商務平臺。

公司A為保證高度的安全，利用端點產(chǎn)品應對不同層次上的安全問題。然而，所有的這些產(chǎn)品合在一起使得及時管理、監(jiān)測和緩解安全風險變得很困難。換句話說，公司A正確地采用了多層次的安全策略，但是，僅靠這些端點產(chǎn)品提供信息，安全設施風險緩解能力的及時性和高效性就大打折扣了。通過加入SIEM產(chǎn)品，公司A可以利用智能的相關技術從公司的各個端點設備收集警報和數(shù)據(jù)，匯集和標準化這些采集的信息，去除重復性的條目。最后運用內(nèi)置的安全規(guī)則來識別威脅并高效地緩解威脅。最后一步操作，對規(guī)則的實際運用在成功識別安全威脅方面是至關重要的。

既然我們已經(jīng)討論了SIEM工具，例如思科的MARS，所提供的安全功能，問題就出來了：第三方產(chǎn)品互操作性有多重要？答案：非常重要。SIEM技術能夠從很多資源里匯集數(shù)據(jù)，當SIEM不能與這些提供數(shù)據(jù)的資源相連接時，SIEM的用處就微乎其微了，而且誰也不會把大把的錢花在這種用處極小的技術上。

雖然我們只能揣測思科這項決定背后的戰(zhàn)略原因，有一點卻是明確的：Gartner去年的一項報告表明，思科的MARS作為一種普通的SIEM產(chǎn)品已經(jīng)不可行了。作為一種選擇，思科使用自己的產(chǎn)品來推廣自己更為廣泛的“安全威脅管理”方案，同時不再重視思科產(chǎn)品與第三方產(chǎn)品的兼容。

最大的問題是，在這種情況下，企業(yè)是否應該把自己局限在思科平臺上還是移到更為包容和開放的平臺。左右這項決定的關鍵因素是，目前企業(yè)對思科平臺的依賴度有多少。如果企業(yè)網(wǎng)絡的大部分交換機和路由結(jié)構是以思科產(chǎn)品為基礎的，以后在進行外圍防御產(chǎn)品購買時，購買思科產(chǎn)品是更為合理的選擇。另一方面，在SIEM產(chǎn)品上的極端決定，（Cisco vs. non-Cisco），思科已經(jīng)將自己擺在了風頭浪尖，將會遇到思科公司過去所面臨的風險。放棄了自己的SIEM產(chǎn)品平臺，從長遠來說，思科獲得的不僅僅是更大的互用性，還有在產(chǎn)品價格上更大的自由，以及進行產(chǎn)品升級的能力?；蛟S這也是過去SIEM產(chǎn)品市場（不包括思科）流動性和競爭性如此之大的原因。

擁有多個供應商提供安全端點產(chǎn)品的企業(yè)，在購買SIEM平臺時，我建議不要將MARS放在購貨單里。目前使用MARS產(chǎn)品來監(jiān)測非思科安全設備的企業(yè)，應當考慮著向其他SIEM平臺的轉(zhuǎn)移。這項建議并不是指責MARS的性能不好——MARS產(chǎn)品還是名副其實的——而是說，思科的政策已經(jīng)改變，MARS產(chǎn)品不再支持第三方產(chǎn)品，而這種對第三方產(chǎn)品的兼容在SIEM平臺中是極為關鍵的。通過建立起一個以思科產(chǎn)品為中心的MARS平臺，思科公司應當喚起企業(yè)的思考：思科的這項決定會導致未來安全產(chǎn)品的互用性降低嗎？目前這個問題還難以回答，不過，企業(yè)打算使用思科的安全產(chǎn)品時，應當考慮到這種互用性降低的可能性，尤其是那些希望避免產(chǎn)品不能互用問題的企業(yè)。

從短期來說，思科產(chǎn)品不再與第三方安全事件管理資源兼容會影響到思科產(chǎn)品的市場接受度。但從長期來說，在更為廣大的市場上，思科會獲得意想不到的正面效果。思科會集中精力去開發(fā)更為開放和兼容的平臺，提高自己在這方面的競爭力。

【編輯推薦】

思科ASA防火墻配置很簡單！
對安全管理實務之事件管理的正確描述
看思科防御DDOS攻擊的思路
思科交換機和路由器等產(chǎn)品發(fā)現(xiàn)DoS安全漏洞

文章標題：思科MARS：第三方的兼容問題對SIEM產(chǎn)品而言意味著什么
網(wǎng)站鏈接：http://fisionsoft.com.cn/article/dpcghpg.html

新聞中心

其他資訊