过去几年里,安全信息和事件管理(SIEM)技术一直备受指责。其复杂性和对专业服务的过度需求招致了很多抱怨,很多企业都对其部署SIEM进行安全监控的经历感到失望。 但那是以前,现在已经不同。公平地说,技术已经不再是企业难以成功部署SIEM的原因。
领先的SIEM平台已经经历了“大脑移植”,迁移到特定目的的数据存储,这些数据存储能够提供足够的性能和规模。曾经笨重且不可靠的系统连接器和日志聚合器现在更有效,使数据收集变得相对简单。 但SIEM仍然面临着很多困难,所有依赖基于规则的政策的技术都是如此。SIEM必须知道它要寻找什么。
神奇的SIEM产品并不会自动地发现利用新方法或罕见漏洞的攻击。 要知道,S……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
过去几年里,安全信息和事件管理(SIEM)技术一直备受指责。其复杂性和对专业服务的过度需求招致了很多抱怨,很多企业都对其部署SIEM进行安全监控的经历感到失望。
但那是以前,现在已经不同。公平地说,技术已经不再是企业难以成功部署SIEM的原因。领先的SIEM平台已经经历了“大脑移植”,迁移到特定目的的数据存储,这些数据存储能够提供足够的性能和规模。曾经笨重且不可靠的系统连接器和日志聚合器现在更有效,使数据收集变得相对简单。
但SIEM仍然面临着很多困难,所有依赖基于规则的政策的技术都是如此。SIEM必须知道它要寻找什么。神奇的SIEM产品并不会自动地发现利用新方法或罕见漏洞的攻击。
要知道,SIEM在攻击检测中发挥着重要作用。但要成功检测出已知甚至是未知攻击类型,企业必须建立一套策略来寻找其环境中的攻击情况和指标,并持续监控这些情况。
那么,到底该如何建立这种策略呢?当然,等待它自己出现并不现实。下面我们看看建立有效SIEM政策的简单过程。
在合理范围内收集所有数据
如果没有收集足够的数据,SIEM就无法进行全面分析。所以第一步是收集正确的数据。这意味着什么呢?先从明显的数据开始,例如网络、安全和服务器设备日志。这些数据很多,且容易获得。接着,从应用基础设施(数据库、应用)获取日志信息。当然,SIEM还需要各种其它数据源,包括身份数据、网络流量、漏洞扫描结果以及配置数据。
对于SIEM系统而言,数据越多越好。如果可以的话,收集所有数据。如果需要对收集的数据进行优先排序,应该先考虑从最重要的技术资产(即受保护环境中的设备以及处理受监管数据的设备)收集的数据。另外还要注意处理关键知识产权的系统。
构建规则
建立SIEM规则库是一个迭代的过程。这意味着这个过程相对较慢,需要长期的细化或调整。很多人在开始这个过程时出现“分析瘫痪”,因为有数百万种可能建立的规则。因此,我们建议首先要明确应该被定义的规则。
在建模过程中,从重要资产开始。将你自己放在攻击者的角色,并开始监视你会想窃取的数据。
- 模拟威胁:如果你是攻击者,你会如何入侵和窃取数据呢?模拟这种威胁,然后在SIEM工具中列举这些攻击向量。不要忘了渗出,因为这为企业在数据被窃前提供了检测攻击的另一个机会。用现实的态度进行这个过程,因为威胁模型并不完全准确,它可能是不完整或者不全面的。最重要的是简单地开始威胁建模过程,这是很好的开端。
- 完善规则:对你自己发动攻击。有很多现成的工具可用来攻击你的环境,你可以试试。然后监控你的SIEM的活动。它是否发出正确的警报,是否在适当的时间?警报是否提供足够的信息来协助响应者弄清楚发生了什么并采取行动?如果答案是否定的,请回到第一步,完善规则。
- 优化阈值:随着时间的推移,你会逐渐了解SIEM警报是否过于频繁或者不足够。根据这一点,适当调整阈值。这是一个平衡,如果阈值过于紧,警报会减少,但这更容易错过攻击。反之亦然,如果警报过于频繁的话。
- 清洗、漂洗、重复:在针对特定攻击的规则集部署和优化后,移动到下一个攻击向量,在建模每种威胁时,重复这个过程。
顺便说一句,这个过程永远不会结束。总会有新攻击需要建模,新指标需要监测。企业必须密切关注安全新闻来了解哪种攻击很流行。最新威胁研究报告(例如Mandiant公司的APT1报告)包含明确的指标,每个企业都可以(而且应该)考虑将这些指标加入其SIEM。有了威胁情报和全面的数据收集环境,你就找不到借口了:现在是时候开始寻找不断涌现的高级攻击了。
也请记住,随着时间的推移,你需要添加新的数据类型到SIEM,这将需要重新考虑所有的SIEM规则。例如,如果捕捉网络数据包流量并发送到SIEM,这将会提供大量可供分析的新信息。如果能够查看实际网络流量,这会给查找某种攻击带来什么影响?我们可以添加哪些其他规则来更快地检测攻击?这些都不是琐碎的问题。每次添加(或删除)一种数据源,检查SIEM规则可以帮助提高攻击检测速度。
这个过程最重要的是保持一致性。SIEM并不是“一次设置,终身无忧”的技术。它需要悉心的照顾和对待--不只是现在,而是它的整个生命周期。如果你对此有任何侥幸心理,你最终会很失望。
作者
Mike Rothman是一家独立信息安全研究公司的总经理和首席分析师。最为一位终端用户,他已经连续15年的时间提倡世界企业和中等规模的商业,他的工作是发起引人深思的关于如何确保核心商业需求的信息安全方面的讨论。在建立Security Incite 之前,Mike是META Group的首位网络安全分析师,并曾在TruSecure的CipherTrust共司担任主管职位,而且他还是SHYM科技工色的创始人之一。Mike经常为TechTarget撰稿,是一位受人尊重的信息安全专家。
翻译
相关推荐
-
Azure Sentinel增加AI驱动SIEM以加强云安全
微软确信其最新的公共云工具将提升其Azure云平台的安全性,并可赶超竞争对手,例如AWS和谷歌。 微软的新工具 […]
-
14个SIEM报告和警报助力提高安全性
管理数据中心需要大量协调工作。你每天都要花时间查看仪表板、性能趋势、功耗和系统访问情况。 而对于更高级的监控, […]
-
补丁和更新应用:花多长时间科学?
安全厂商Prevoty公司的一则调查报告对多达1000名IT和安全专家进行了调查,结果显示52%的受访者每天至少进行一次应用更新,有时候一天要进行n多次。那么,安全团队每天花这么多时间在更新应用方面,这科学吗?
-
云时代:“SIEM即服务”,你怎么看?
向云服务的迁移给试图应对海量数据的企业带来不少挑战。而新出现的“SIEM即服务”的出现展示出,云安全领域是动态变化的,而且在此领域更为有趣的许多发展都有望在未来几年崭露头角。