鉴于正确实施、 管理和利用安全信息和事件管理 (SIEM) 系统对组织的安全基础结构环境的重要性,很明显破坏SIEM可能是攻击者用来避免检测或破坏环境安全管理的一种成功方法。 有哪些潜在影响会使SIEM系统受损,又有哪些防御措施可供企业保护其SIEM系统呢?这些都是我们设法在此回答的问题。 将SIEM系统视为可用性高的企业资源 从安全操作的角度分析,我们应该认识到SIEM系统是安全基础结构的重要组成部分,也是托管企业环境中的众多系统之一。为此,我们应该对SIEM系统进行定期轮询以确保其正常的运行和操作。
SIEM系统部署计划之一就是确保 SIEM 系统作为企业环境中的关键系统能够被大……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
鉴于正确实施、 管理和利用安全信息和事件管理 (SIEM) 系统对组织的安全基础结构环境的重要性,很明显破坏SIEM可能是攻击者用来避免检测或破坏环境安全管理的一种成功方法。
有哪些潜在影响会使SIEM系统受损,又有哪些防御措施可供企业保护其SIEM系统呢?这些都是我们设法在此回答的问题。
将SIEM系统视为可用性高的企业资源
从安全操作的角度分析,我们应该认识到SIEM系统是安全基础结构的重要组成部分,也是托管企业环境中的众多系统之一。为此,我们应该对SIEM系统进行定期轮询以确保其正常的运行和操作。SIEM系统部署计划之一就是确保 SIEM 系统作为企业环境中的关键系统能够被大家认可,并保证其运行的硬件和软件系统被视为高风险,进行配置和管理。
我们也要考虑SIEM系统的适应能力。因为,下一代SIEM系统会注重功能的设计,像自适应路径选择,若一条安全事件传递路径不被阻断,那么会有其他的路径跟上来,或者带外信号到中心节点之间的传输信道至少有一条是可用的。
目前实现 SIEM 系统安全的有效步骤
虽然这些下一代 SIEM 保护功能被纳入未来 SIEM 系统产品,现在还是有很多方法可以确保 SIEM 安全。将一种典型的安全检测方法应用于 SIEM 系统本身,可以有效地实施安全事件收集过程:
• 从身份验证和访问控制的角度来看,我们应该对SIEM系统的访问进行精心设置和管理。与企业的 LDAP(轻量级的目录访问协议)目录服务相集成的方法可以确保 SIEM 系统看起来不是孤岛,而是托管环境的组成部分。对系统的访问应该是有限制的,尽可能采用"权限分离"的方法对系统访问进行限制,尤其是特权访问,即任何个人或管理员都不能单独操作系统。
• 我们必须考虑安全信息的保密性和完整性,特别是信息收集代理/聚集点和中央管理节点之间的信息传播方式。信息的存储--例如,中央节点的数据库需要考虑其保密性。隐私也要考虑,但这取决于安全事件运用的地点和方式。
• 在某些情况下,匿名被应用于安全事件,因此可以确定一个大体的趋势--尤其是管理站外或跨多个客户端时--在组织的控制和管理下,只有有限范围将这种管理转变为事实。
• 可以考虑用不可否认性来确保经授权的或其他的开发者无法否认已对项目操作的事实。然而,只有考虑到SIEM事件在初始系统中如何进行集中存储,才确保可以收集充分的操作证据。
• 最后,系统的可用性也是一个安全问题,对SIEM系统来说也同样存在问题。从架构来看,未来的 SIEM 产品将有自我修复、 自适应类型的功能。在此期间,业务的灾难恢复方面应确保 SIEM 系统运行在高效的基础设施之上,相对于同时修复的其他关键任务系统,要优先保证SIEM 的有序监测和观察。归根结底,要看造成运行中断或灾难的原因是什么,最重要的是让安全系统首先运行起来,这样可以确保任何突发的模式、警报、 事件或事故是可见的,并且是可以进行调查和反馈追踪的。
仔细的部署可以增强 SIEM 系统的安全,但这需要更多的时间来创建增强SIEM产品适应力的架构,而将它们作为整体管理系统中高可用的关键系统则可以马上做到。
相关推荐
-
Azure Sentinel增加AI驱动SIEM以加强云安全
微软确信其最新的公共云工具将提升其Azure云平台的安全性,并可赶超竞争对手,例如AWS和谷歌。 微软的新工具 […]
-
云时代:“SIEM即服务”,你怎么看?
向云服务的迁移给试图应对海量数据的企业带来不少挑战。而新出现的“SIEM即服务”的出现展示出,云安全领域是动态变化的,而且在此领域更为有趣的许多发展都有望在未来几年崭露头角。
-
SIEM功能如何用于实时分析?
很多企业主要依靠安全信息和事件管理技术(SIEM)来生成周期性、集中的安全报告,这些报告用于合规性目的以及对攻击事件事后检测及调查。不过,大多数SIEM平台其实还能够执行实时分析……
-
QRadar SIEM:以安全智能保护企业资产和信息远离高级威胁
IBM Security QRadar SIEM 可整合在网络各处分散的数千个设备、终端和应用中的日志源事件数据。它对原始数据执行直接的标准化和关联化活动,以区分实际威胁和错误判断。