来自 网络 2021-08-30 09:24 的文章

免备案高防cdn_高防ddos怎么打_限时优惠

今年是ArcSight的20岁生日!ArcSight最初于2000年5月3日在特拉华州成立,名为Wahoo Technologies,Inc.,次年3月正式更名为ArcSight,Inc。大约在2002年,ArcSight发布了第一款产品,后来在Gartner 2003年的"IT安全管理幻方图"报告中被列为一名有远见的人,当时没有领导者。ArcSight的首次公开募股(IPO)于2008年2月14日上线,交易代码为纳斯达克代码ARST。几年后,惠普(HP)于2010年10月22日完成对ArcSight的收购,到2015年,惠普分拆成立了两个公司——惠普企业(HPE)和惠普公司(HP Inc.)。在这次拆分中,ArcSight成为新成立的HPE的一部分。一年后的2016年,HPE宣布将其软件业务与2017年9月1日敲定的Micro Focus International(MFI)合并,其中包括ArcSight。我最初是在2005年10月被介绍给ArcSight的,当时我开始了一份新的安全分析师工作。ArcSight ESM的版本是ESM 2.5,但很快就升级到了3.5版。在那之前,我做过各种各样的工作,比如入侵检测分析师,系统管理员,或者网络管理员等等。我仍然记得BNC连接器,抛光光纤末端,第一次看到CISCO Pix、Novell 3.x、Windows 3.x或NT4.0。另外,我记得在执行事件调查时创建了自定义脚本。后来,我从分析员的职位上转到维护安全信息和事件管理(SIEM)以及入侵检测系统(IDS)解决方案,随着新指标的不断出现,我需要创建新的内容。之后,我进入了实现和架构方面,最终在2010年6月加入了ArcSight。那时,我已经成功地进行了各种SIEM部署,包括ArcSight。我继续跟踪ArcSight到HP、HPE和MFI的发展,ddos防御接入,在这些年中,有太多的实施和客户,他们很难让他们直截了当。此时此刻,我的工作职责发生了变化,但我仍然有幸说,在大多数SIEM和ArcSight历史中,我都是其中的一员,甚至是很小的一部分。共同的故事ArcSight历史几乎与SIEM历史平行。我不是历史学家,但从我的观点和经验来看,我倾向于认为暹罗的历史经历了不同的时期或几代人,我相信我们才刚刚开始第五次。可以说,ArcSight是这项技术的支柱之一,它在每一个支柱中都存在。值得注意的是,SIEM一词最早在2005年5月由Amrit T.Williams和Mark Nicolett撰写的题为"通过漏洞管理提高It安全性"的Gartner报告中首次正式使用。下面是我所看到的暹罗历史时期的细目。请记住,标界年份应被视为估计值,误差范围可能至少为+/-1年。SIEM的进化1999年至2005年——一场新的炒作:SIM vs.SEM在这段时间里,两种不同的技术正试图突破基于安全管理的需求,因为组织正在试图控制他们的安全态势。这些技术是安全信息管理(SIM)和安全事件管理(SEM)。SIM主要与数据的存储、分析和报告有关,而SEM则主要与监测、关联和警报相关。回想起来,我想说我可以互换使用这些术语。尽管在这段时间里,集中收集原木的概念并不是一个新奇的想法,但人们可以确定,在1999年前后,SEM是一个相对较新的概念,而且可以说,它可能是将成为SIEM市场的开端。我认为这一时期的结束标志着2005年5月Gartner报告的发布。(旁注:可以认为是扫描电镜技术先驱的产品是NetIQ Sentinel的前身,目前正与ArcSight融合)。2005-2010–SIEM的曙光我想这一时期始于一份加纳报告正式创造了SIEM一词,但如果我没有记错的话,我相信,个人防御ddos,到2007年,有一些人提到ArcSight是SIM。不管怎样,在这期间,可以说是第一个"官方"SIEM平台出现的时候,它们能够同时执行SIM和SEM功能。诚然,在这一时期后期,随着SIEM开始变得越来越常用,那么这些功能更多地与"日志管理"和"相关引擎"等术语联系在一起。在我看来,这些解决方案的第一个关键限制因素是数据收集需求,因为他们中的大多数人都在努力水平扩张(有些人仍然如此!)。随着SIEM市场开始形成,这一时期的特点也是大公司打开支票簿,首次进入这个市场(例如:这里、这里和这里),ddos攻击自动防御,尽管其中一些公司最终搁置了这些解决方案。2010-2014–SIEM:广阔我认为,这一时期的开始是以平台的引入为标志的,这些平台能够超越之前的平台。在此期间,平台达到每秒超过2万个事件(EPS)成为新的标准。这种吞吐量在某种程度上是不可能实现的,或者至少是极难实现的。有趣的是,增加吞吐量的能力在某种程度上成为了我称之为下一个限制因素的前兆。在这段时间里,我经常对顾客说"垃圾进,垃圾出"(我现在仍然这么做!)。由于您能够向这些平台发送更多的数据,因此最常见的做法是在没有任何预先考虑的情况下将所有数据发送给它。这一决定导致分析师们淹没在数据海洋中,对他们所处环境中发生的事情基本上视而不见。也就是说,win防御cc,这一时期的市场参与者也在增加。如果你看一下这一时期的Gartner SIEM MQ图像,你会发现,他们评估了多达24个不同的SIEM,在这段时间内,平均约有19个玩家。2014-2019–UEBA的崛起我认为这一时期的开始是一组用户和实体行为分析(UEBA)解决方案开始可用的时候。分析师们正变得不知所措,对于不断变化的安全环境来说,仅靠基于规则的解决方案是不够的。这种认识导致了这些解决方案的引入,它们的前提主要是在您的环境中使用数学模型对"实体"活动进行基线化,并在发现这些基线偏差时增加了它们的风险。也正是在这一时期,诸如"机器学习"和"人工智能"之类的短语被过度使用,增加了混乱。在下一个时期,传统技术的替代品将在这一时期开始。也就是说,就像任何新技术一样,实现起来比预期的要困难。我对其中一些解决方案的接触使我认为,尽管它们的后端基于大数据平台,但在高吞吐量下的数据消耗仍然是一个问题。不仅要考虑收集速度,还要确定要收集的数据及其质量(同样是"垃圾输入,垃圾输出")。在我看来,这些解决方案在我看来更为宽松。另一件事情开始变得明显,至少对我来说,一些用例最好用传统的SIEM来解决。甚至Gartner在其UEBA市场分析报告中也表示,这个市场将不再是一个独立的市场,而是将嵌入到其他解决方案中。2019年现在——智能思维觉醒我相信我们目前正处于SIEM历史的一个新时期,一种新的方法正在出现。它融合了传统的SIEM和UEBA技术,同时还添加了编排功能(或集成),以优化事件响应和处理。这些SIEM解决方案必须能够根据需要进行扩展,并且能够部署在本地或云中,但也包括MSSP和SaaS的选项。这个解决方案必须比以前更聪明,因为现在比以往任何时候都更需要用更少和更快的速度做更多的事情。如果解决方案能够为5w和1h问题提供快速答案或相关上下文,以及提供额外的上下文,例如"我们以前见过吗?"你知道这是个坏演员吗以及"如何减轻风险?"这样,分析师就可以更快、更有效地做出反应。值得注意的是,Smart-SIEM术语并不是我的术语,因为我第一次在MFI社区网站上的一个安全博客中读到它,标题是"It SIEMs to Me…"。尽管如此,我还是坚信这些解决方案必须能够坚持并遵守"举证责任"和"监护链"。我知道这适用于法律背景,但除了有助于阻止攻击外,我想,该组织可能希望这样的"坏角色"在法庭上面对他们行为的后果。因此,如果这些解决方案存在完整性问题,例如允许有选择地修改或删除数据,那么这些解决方案将毫无用处。结论我知道关于安全操作和SIEM还有很多要讲的,cdn防御和ddos硬防,但是我相信我已经讲了足够多的内容来证明我的观点。SIEM市场有一个充满活力的历史,在那里只有可靠的解决方案幸存下来,ArcSight从一开始就在那里,而且现在仍然存在。在我看来,那些从过去学习的人更有能力走向成功的未来。ArcSiem认为这些产品中没有一个是历史的支柱。现在,随着NetIQ Sentinel和Intermit以及其他MFI解决方案的加入,ArcSight通过提供智能SIEM所需的所有组件,在SIEM的未来中占据了有利地位。请和我一起说