安全事件管理四步曲

日期: 2007-12-26 来源:TechTarget中国

        为了提高网络连接组织的安全,用户需要监控安全事件日志、采集大量的数据。搜遍所有这些日志,找出系统攻击或漏洞是个难题。但数据必须加以分析,威胁检测就成了一大难题。安全事件管理(SEM)产品应运而生,它们有助于采集安全事件、分析所采集数据、进行事件智能分析、应对所查明威胁。

        本文介绍如何为全面的安全事件管理进行事件的采集、分析、关联及响应。

        第一步:安全事件采集

        安全事件采集有两种方法:显式事件采集和事件日志合并。显式事件采集假定:组织确切地知道哪些事件将来关系到对安全威胁的了解,只有与这些事件相关的信息才保存下来。综合有限的信息后,写入高级总结报告里面。相比之下,事件日志合并把所有采集到的数据进行存档。对清楚了解公司的威胁、同时提供全面的事件分析所需的数据而言,这两种技术至关重要。

       第二步:安全事件分析

        安全事件分析的三种典型方法是:实时分析、定期分析和混合分析。

        实时分析通过对照预先定义的标准评估当前发生的重要事件,来加以识别。这可以立即发现已知威胁,所以组织可以迅速应对并减小威胁风险。实时分析之所以有用,就在于它可以立即提醒管理员注意潜在威胁,但如果缺少解释单一事件的上下文,那么实时分析会导致报警需要人来响应,结果却发现其实并没有威胁。

        定期分析采集及评估数据的时间间隔比较长(几天或几周,而不是实时分析的几秒)。采集到的数据经分析后,就可以查明安全弱点,找出缓解风险的方法。定期分析为事件提供了更多的上下文,但无法为当前发生的安全破坏事件提供报警。

        虽然定期分析可以总结及合并数据,从而让数据更易管理,但总结后的数据限制了管理员对过去事件的了解。混合方法则取两者之所长,可以实时提醒信息安全专业人士注意特定威胁,同时保存了事件信息,供长期分析。

        第三步:安全事件关联

        要想更准确地评估安全事件,关联两个或多个事件以提供更多的上下文大有帮助。关联两个或多个数据点后,就可以证明或反驳已查明威胁或漏洞的存在性、严重性和优先权。组织对安全事件数据进行关联有多种方法。

        利用限定关联(set correlation),信息安全专业人士就可以定义一组特定事件,它们有着共同属性,譬如同一IP源地址或目的端口。如果这些事件在特定时间段内发生,它们就是攻击或威胁。顺序关联(Sequence correlation)建立在限定关联的基础上:指定了既定事件出现的顺序,从而表明是攻击还是漏洞。

        另一种方法是事件加权分析,即阈值关联(threshold correlation)。它使管理员可以定义发出警报前必须出现的事件。譬如说,如果在指定时间内,同一台电脑出现几次登录失败事件,达到关联阈值,就会发出警报。

        第四步:应对分析结果

        威胁查明后,就要有人应对。管理员可以人工响应、设计基于计算机的响应,或者是结合两者。要人工响应,管理员就要知道应该怎么做,或者知道手头有哪些深层安全知识。

        面对特定威胁,基于计算机的响应会自动执行一系列预先定义的步骤。基于计算机的响应包括:运行应用程序、批文件或脚本,或者是封阻端口。这种自动响应竭力遏止事故发生,但自动响应可能不是最佳方案。经验表明,单独的人工响应或自动响应并非最佳方案。这时就要两种响应结合。

        结论:学会跳四步曲

        SEM关注的是采集、分析、汇报及响应日常发生的安全事件。如果使用得当,SEM工具可提供必要资源,便于从一大堆混乱的安全事件数据找出实际威胁和攻击,从而有助于减小组织面临的威胁。最终结果就是,可以更快地查明威胁,结合SEM产品响应和人工干预,从而提高组织的整体效率和安全。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐