SIEM诞生伊始,尤其从2006年开始,每年的RSA大会都有很多关于SIEM的讨论的主题。从2007年开始,随着合规管理和内控需求的不断走强,SIEM的发展迎来了一个新的发展阶段。
这个文章——《A new awareness for SIMs》(SIM的新感知)是在RSA2007期间援引Gartner和Burton Group的一个分析,可以看到这个时候开始关注SIEM用于内控,并重点从SIEM与身份管理IAM的整合说起。
到了2008年的RSA大会,新一代日志管理系统出现,并与SIEM开始整合,有厂商和客户针对SIEM进行主题发言,例如这个访谈——《Firm makes log management a priority for compliance》(企业将日志管理作为合规管理的优选技术)。
而从2009年开始,业界开始了新一轮针对SIEM的理性探讨,出现了一些质疑声,并且伴随着这些立信的反思,也促进了SIEM市场的进一步成熟和理性化。例如,2009年的RSA大会上,有这样一个主题发言——《SIEM: Not for small business, nor the faint of heart》(SIEM:不适合小企业和承受能力低下者)。
我这里还有一篇一位台湾资深安全从业人士关于SIEM的文章,写的是他对RSA2009的感受,摘录如下:

安全信息与事件管理(Security Information and Event Management)是整合安全信息管理与事件管理而成的新一代设备。过去网管人员最常遇见得状况,就是不知如何整理并分析相关报表,成千上万笔的记录提高了报表分析的难度,而不同设备上的事件关联性,也很难整合成有效的事件,因此便有了SIEM设备的出现。

SIEM设备其实在2006年便已问世,但以直到去年才逐渐开始广泛运用,最主要的原因是过去数据库的分析处理能力不足,较难实时提供精细且准确的报表,同时能收集到的数据量不够完整,因此并非具有强烈需求的设备。SIEM主要工作是收集在网络上各台设备的信息记录,这些设备包括路由器、交换机、防火墙、IPS或×××等相关产品,新款的SIEM除了收集网络安全设备的日志之外,还能够收集各应用程序所导出的各项记录。以近年来的安全事件来看,单一***事件会在不同设备上留下深浅不一的足迹,如果单纯检视被***的目标,并不见得能够有效地找到***发起者与来源。因为许多***者会利用合法的探视路径,如网页浏览或FTP下载,试图取得合法权限,进而***内部其他区域。因此,若是单看受到***的应用程序或数据库,其实无法发现***者的入口在哪,***途径或是跳板为何,甚至造成何种损失也无从得知。这时候如果没办法将各个设备所记录的日志整合成有意义的事件,对企业而言,这些日志不过就是记满日期与信息的废纸而已。

而RSA方面认为,SIEM的核心是负责存储并分析记录的数据库。由于各设备所汇入的记录格式都不尽相同,其他SIEM产品为了提供最大的适应性,需要相当庞大的数据库容量,也因此拖累了数据处理分析的速度与精确度。其新一代的enVision产品,就是提高数据库的处理能力,让相关报表能够实时呈现,并且减少管理者需检视的报表数量,让效果更精确。ArcSight公司则表示SIEM重点是在各个潜在的线索中,找到***事件的发起点与相关途径。因为很多***会潜藏在合法的访视之中,如果没办法找到这些***的伪装,类似的***就难以彻底根绝,因此如何收集最大量的设备信息,也是决定SIEM产品成功与否的要素。

对企业而言,导入SIEM设备最重要的目的应该是如何将大量信息整合成有效且明确的事件。毕竟,有人透过防火墙存取数据是很正常的。但什么样的数据被谁存取,就成为该行为合法与否的关键。因此,导入SIEM不但是为了加强安全监控的功能,同时更为了强化企业内部的法规遵循能力。

前不久,一份美国的调查报告就显示,SIEM技术“最受客户关注,并且成为了客户2010年安全投资建设的主要方向。而造成这一现象的主要原因就在于大中型企业的合规性需求的井喷。”
到了现在,在RSA2010大会上,虽然没有了专门SIEM的主题演讲,但是SIEM作为一个成熟的技术已经***到了其他各类热门话题中了,或者作为一个工具,或者作为一个技术手段,或者作为一种服务模式。另一个标志SIEM市场成熟的表征是在Expo方面,大量的公司都展示了他们的SIEM类产品。并且,有款SIEM产品并不是什么很了不起的事情,关键在于其产品是否更加符合当前客户的需求。SIEM产品竞争已经从比拼概念、理念和架构阶段,进入了比拼功能、性能、易用性和客户需求符合度的阶段
按照我的国内落后国外3年的理论,我想,我们现在国内对SIEM的认识总体上还处于2007/08年的水平,即开始将SIEM应用于内控和日志审计产品(SIEM变种)大行其道的时期。