利用SIEM進行高級攻擊檢測的最佳實踐
責編:admin |2015-02-09 17:07:21過去幾年里,安全信息和事件管理(SIEM)技術一直備受指責。其復雜性和對專業服務的過度需求招致了很多抱怨,很多企業都對其部署SIEM進行安全監控的經歷感到失望。
但那是以前,現在已經不同。公平地說,技術已經不再是企業難以成功部署SIEM的原因。領先的SIEM平臺已經經歷了“大腦移植”,遷移到特定目的的數據存儲,這些數據存儲能夠提供足夠的性能和規模。曾經笨重且不可靠的系統連接器和日志聚合器現在更有效,使數據收集變得相對簡單。
但SIEM仍然面臨著很多困難,所有依賴基于規則的政策的技術都是如此。SIEM必須知道它要尋找什么。神奇的SIEM產品并不會自動地發現利用新方法或罕見漏洞的攻擊。
要知道,SIEM在攻擊檢測中發揮著重要作用。但要成功檢測出已知甚至是未知攻擊類型,企業必須建立一套策略來尋找其環境中的攻擊情況和指標,并持續監控這些情況。
那么,到底該如何建立這種策略呢?當然,等待它自己出現并不現實。下面我們看看建立有效SIEM政策的簡單過程。
在合理范圍內收集所有數據
如果沒有收集足夠的數據,SIEM就無法進行全面分析。所以第一步是收集正確的數據。這意味著什么呢?先從明顯的數據開始,例如網絡、安全和服務器設備日志。這些數據很多,且容易獲得。接著,從應用基礎設施(數據庫、應用)獲取日志信息。當然,SIEM還需要各種其它數據源,包括身份數據、網絡流量、漏洞掃描結果以及配置數據。
對于SIEM系統而言,數據越多越好。如果可以的話,收集所有數據。如果需要對收集的數據進行優先排序,應該先考慮從最重要的技術資產(即受保護環境中的設備以及處理受監管數據的設備)收集的數據。另外還要注意處理關鍵知識產權的系統。
構建規則
建立SIEM規則庫是一個迭代的過程。這意味著這個過程相對較慢,需要長期的細化或調整。很多人在開始這個過程時出現“分析癱瘓”,因為有數百萬種可能建立的規則。因此,我們建議首先要明確應該被定義的規則。
在建模過程中,從重要資產開始。將你自己放在攻擊者的角色,并開始監視你會想竊取的數據。
模擬威脅:如果你是攻擊者,你會如何入侵和竊取數據呢?模擬這種威脅,然后在SIEM工具中列舉這些攻擊向量。不要忘了滲出,因為這為企業在數據被竊前提供了檢測攻擊的另一個機會。用現實的態度進行這個過程,因為威脅模型并不完全準確,它可能是不完整或者不全面的。最重要的是簡單地開始威脅建模過程,這是很好的開端。
完善規則:對你自己發動攻擊。有很多現成的工具可用來攻擊你的環境,你可以試試。然后監控你的SIEM的活動。它是否發出正確的警報,是否在適當的時間?警報是否提供足夠的信息來協助響應者弄清楚發生了什么并采取行動?如果答案是否定的,請回到第一步,完善規則。
優化閾值:隨著時間的推移,你會逐漸了解SIEM警報是否過于頻繁或者不足夠。根據這一點,適當調整閾值。這是一個平衡,如果閾值過于緊,警報會減少,但這更容易錯過攻擊。反之亦然,如果警報過于頻繁的話。
清洗、漂洗、重復:在針對特定攻擊的規則集部署和優化后,移動到下一個攻擊向量,在建模每種威脅時,重復這個過程。
順便說一句,這個過程永遠不會結束。總會有新攻擊需要建模,新指標需要監測。企業必須密切關注安全新聞來了解哪種攻擊很流行。最新威脅研究報告(例如Mandiant公司的APT1報告)包含明確的指標,每個企業都可以(而且應該)考慮將這些指標加入其SIEM。有了威脅情報和全面的數據收集環境,你就找不到借口了:現在是時候開始尋找不斷涌現的高級攻擊了。
也請記住,隨著時間的推移,你需要添加新的數據類型到SIEM,這將需要重新考慮所有的SIEM規則。例如,如果捕捉網絡數據包流量并發送到SIEM,這將會提供大量可供分析的新信息。如果能夠查看實際網絡流量,這會給查找某種攻擊帶來什么影響?我們可以添加哪些其他規則來更快地檢測攻擊?這些都不是瑣碎的問題。每次添加(或刪除)一種數據源,檢查SIEM規則可以幫助提高攻擊檢測速度。
這個過程最重要的是保持一致性。SIEM并不是“一次設置,終身無憂”的技術。它需要悉心的照顧和對待–不只是現在,而是它的整個生命周期。如果你對此有任何僥幸心理,你最終會很失望。