從安全信息管理系統獲得可操作的結果(一)
責編:admin |2015-02-09 17:10:12安全信息管理(SIM)是用于從日志文件和其他來源收集安全信息以檢測和響應安全事件的技術,SIM的應用正變得越來越廣泛。現在的服務器、網絡設備和應用產生海量日志數據和各種類型的信息,這些海量數據可以被分析、關聯和過濾,從而推動與安全、合規和應用性能相關的各種決策。雖然有很多可能的用途,但SIM解決方案必須專注,否則會被信息過載、性能問題“淹沒”,變得一無是處。
為SIM設定有限目標
SIM的功能是在大量安全事件中尋找特定安全事件的“蛛絲馬跡”。簡單地說,SIM是在針堆里找針。這是一項艱巨的任務,然而,很多公司試圖使用SIM做太多工作,使“針堆”越來越大,“找針”的工作也越來越困難。
部署SIM第一項也是最重要的部分是專注于一個目標或者一組有限的目標。SIM是用來檢測入侵?用來尋找違規行為?還是專注于內部或外部攻擊?對于這么多可能的用途,企業很容易失去焦點,并試圖完成上述所有任務。你試圖通過SIM解決的問題越多,SIM解決這些問題中的任何一個問題的效率就越低。
你應該收集哪些日志?如果你為SIM設定了特定的目標,你就可以很容易確定需要收集的數據。例如,如果你決定關注支付卡行業數據安全標準(PCI-DSS)的合規性,那么,防火墻日志將是你必須收集和分析的首要數據。PCI是為數不多的規范性法規之一,因此,有很多關于日志收集的具體指導。但其他法規并沒有那么容易:例如,HIPAA要求你保護個人健康信息(PHI),但對此你應該收集什么日志呢?
日志收集的常見錯誤是,安全專家在這個過程中過早地使用過濾。例如,在醫療機構,SIM被配置為僅收集失敗登錄嘗試的日志信息。其理由是,這種日志信息可能表明有人試圖入侵系統。然而,當發生數據泄露事故時,該公司發現攻擊者已經成功盜用了用戶密碼。攻擊者并沒有產生失敗登錄日志信息,他們使用合法用戶賬戶成功登錄了系統。但這些成功登錄信息并沒有被收集,負責分析該泄露事故的安全專家將無法看到攻擊者做了什么。
這是一個艱難的權衡:如果你不收集一些具體的細節數據,當你在數據泄漏事故后需要查看歷史數據時,你將無法看到這些數據。但如果你收集所有數據,你將會面臨性能和存儲增長問題。看似不重要的小細節可能是事故后需要的關鍵數據。
在數據泄露事故后,SIM不僅可用于對歷史數據進行取證分析。很多企業還將SIM解決方案作為安全運營中心(SOC)實時事件響應的基礎。實時事件響應和事件后歷史分析的區別很關鍵,因為這兩者的目標往往不一致–如果說不是直接矛盾的話。針對實時分析的SIM解決方案被調整為高性能相關性和過濾,盡量減少收集的信息。然而,為了提高SIM用于事故后歷史分析的可操作性,你必須以完全相反的方式對它進行調整,以最大化收集和存儲的信息。
可操作的結果是指可用于業務流程的結果。如果你的目標是合規性,那么,流程應該產生年度審計報告。如果你的目標是數據泄露檢測,那么,這種結果應該能夠允許分析師通過事件響應流程對安全警報進行調查。如果你試圖提高安全操作,那么,SIM結果應該支持變更和配置管理流程。如果沒有明確的目標以及你想實現的流程,SIM無法產生可操作的結果。
讓SIM成為安全監管計劃的一部分
當你讓SIM專注于單個目標,并成功地將它整合到你的標準安全操作中,那么,你就可以開始逐漸轉移注意力去解決其他業務挑戰。這并不意味著收集更多數據,因為這只會讓SIM速度變慢和失去焦點。相反地,這意味著尋找新方法來重新使用SIM結果作為你的整體安全監管計劃的一部分。
很多公司正在逐漸將其注意力從合規轉移到風險管理。風險管理意味著查看企業面臨的風險,并根據對企業的風險優先安排安全控制和事件響應來管理風險。對于SIM解決方案,這意味著關聯安全事件信息和風險信息,例如:
用戶身份/角色:涉及或影響哪些用戶/角色
系統風險:受影響系統是否是關鍵業務系統
應用風險:受影響應用是否是業務關鍵應用
為了將風險管理添加到SIM產品中,你不一定要收集更多日志。在大多數情況下,你可以向現有日志數據補充關于應用、系統、用戶和角色的風險/關鍵程度的信息。例如,很多SIM產品讓安全分析師可以根據關鍵程度將服務器分為不同級別,可使用數字分數(例如1至5分,其中1為最關鍵,5為最不關鍵)或標簽(例如高級、中級或低級)。這些額外的屬性給你的結果添加了另一個視角,讓安全專業人員可以優先業務關鍵安全事件,而推后非關鍵事件。這里關鍵的區別在于,關鍵程度是業務屬性,而不是安全屬性。
同樣地,為了讓SIM適應法規合規性,你不一定需要更多日志。在很多情況下,你必須關聯現有SIM結果到特定審計報告要求或規則。大多數法規代表著行業需要部署的最小安全控制。如果你的SIM被設計為支持強大的安全程序,你可能已經收集了合規所需的所有日志。
一些企業可能想要部署實時響應到安全事件。毫無疑問,這是所有公司的宏偉目標。實時響應要求近乎完美的技術、流程和人員,這方面很少有公司是成功的。如果你試圖實現這個雄心勃勃的目標,請確保這是完善的成功的SIM部署的最終目標,而不是第一個目標。為了讓SIM適用于實時關聯和分析,你必須選出日志數據的一個子集來進行關聯。對太多日志數據進行實時分析會降低性能,而收集太少日志則會讓事故后分析無法實現,因為記錄中會有很多空白。成功的部署會將日志數據劃分到長期歸檔中,這能保證盡可能全面的日志數據,以及更少的日志數據用于關聯和警報。
成功的關鍵是漸進化:從有限的專注的目標開始,然后逐漸增加功能,同時確保SIM系統不會被數據淹沒。如果你將SIM解決方案作為廣泛的操作過程的一部分,你會發現最薄弱的環節并不是技術,而是操作者。如果你為SIM設定了過于宏偉的目標,你會看到,這個系統被日志數據覆蓋,并且,你的工作人員也會被日志結果淹沒。面對產生太多結果和警報的SIM的操作人員,他們只有兩個選擇:停止產生結果,這可能錯過安全事件;或者忽略警報。很多SIM部署項目會出現其中一種情況或兩種情況,在一段時間后,SIM最終不得不被廢棄或取消。