在有限的預(yù)算內(nèi)，改進(jìn)安全技術(shù)的最好辦法是什么?我們想要更新一些較老的技術(shù)，并轉(zhuǎn)移到SIEM(安全信息事件管理)或者其他威脅數(shù)據(jù)關(guān)聯(lián)產(chǎn)品，但面對緊張的IT安全預(yù)算，這很難實(shí)現(xiàn)。我們也有考慮一些開源產(chǎn)品，那么，在使用免費(fèi)和開源安全工具與購買商業(yè)安全產(chǎn)品之間，如何作出最佳選擇呢?

從來沒有信息安全團(tuán)隊(duì)告訴我，他們得到了他們想要的預(yù)算。現(xiàn)在，大家似乎都謹(jǐn)遵“少花錢多辦事”的宗旨。所幸的是，當(dāng)你的預(yù)算很緊張時(shí)，有很多可行的開源工具可用來替換商業(yè)工具。對于選擇商業(yè)產(chǎn)品還是開源工具，并沒有經(jīng)過檢驗(yàn)證明的可靠辦法。需要記住一些事情。：

開源安全工具通常只能在技術(shù)上與商業(yè)產(chǎn)品“媲美”。主要的區(qū)別是配置和升級的簡便性。開源工具有著陡峭的學(xué)習(xí)曲線，并且變化很快，而商業(yè)工具有用戶友好型配置界面，并提供服務(wù)支持。

如果你的安全團(tuán)隊(duì)缺乏配置和維護(hù)開源工具所需的技能，考慮使用商業(yè)工具。另外，在高風(fēng)險(xiǎn)環(huán)境中，我也建議使用商業(yè)工具，因?yàn)檫@種環(huán)境中支持和正常運(yùn)行時(shí)間非常關(guān)鍵，除非你的安全團(tuán)隊(duì)能夠提供相同的支持水平，否則應(yīng)該使用商業(yè)工具。我通常混合使用商業(yè)工具和開源工具來加強(qiáng)我的防御，這不僅提供了縱深防御(攻擊者必須滲透多個(gè)防御層)，還允許我的團(tuán)隊(duì)在低風(fēng)險(xiǎn)環(huán)境中學(xué)習(xí)開源工具。

在你的開源安全工具候選名單中，應(yīng)該考慮添加這些出色的開源工具：OSSIM是最受歡迎開源SIEM之一，它也是很成熟的工具。追溯到2003年，它支持幾乎任何網(wǎng)絡(luò)設(shè)備的日志格式，并能夠與開源IDS和漏洞評估工具很好地集成。它還提供一個(gè)升級路徑，如果你需要更多支持的話，你可以將其升級到商業(yè)版本。如果你沒有時(shí)間配置像OOSIM這么復(fù)雜的工具，Security Onion是另一個(gè)不錯(cuò)的工具，Security Onion是基于Ubuntu的Linux發(fā)行版，包含構(gòu)建分布式IDS/IPS傳感器網(wǎng)絡(luò)(流入中央數(shù)據(jù)庫)所需的一切。雖然它不能從現(xiàn)有網(wǎng)絡(luò)設(shè)備中導(dǎo)入日志，但它是使用開源或者專有工具構(gòu)建中央警告系統(tǒng)的最快的工具。