從安全信息管理系統獲得可操作的結果(二)
責編:admin |2015-02-09 17:10:40安全kaizen:SIM用于持續質量改進
看待SIM的一個有趣方式是將它作為安全計劃的反饋環節。所有政策、配置和安全設備最終會以安全事件的形式來表達自己。SIM是風險管理程序的很好的良性循環機制,還可以用它來確定政策是否在合理運作。
為了將SIM變為強大的反饋機制,安全運營經理必須將其作為持續改進計劃的一部分。SIM生成的每個事件都預示著企業安全的成功或失敗。當安全專業人員查看安全事件時,他們有可能越過這個事件,并發現政策、流程或控制存在的根本問題。在日本制造業,持續質量改進的過程被稱為“kaizen”,對改善安全程序產生巨大影響的概念。
在檢查的第一級,安全事件可能突顯出日志收集過程中的遺漏或錯誤。在審查事件時,安全分析師會發現日志信息的關鍵部分沒有被收集。在很多情況下,企業對這種發現并沒有馬上采取行動,沒有帶來任何變化。而在持續改進過程中,安全分析師將能夠提交變更申請表以添加日志到收集中。
在審查安全事件的過程中,安全分析師會發現一個較早期的重要事件但沒有生成警報。這里,企業能夠通過添加警報模式到SIM來改進過程。例如,分析師會收到關于不恰當數據庫訪問模式的警報,如不尋常的SQL查詢。在調查該事件時,分析師發現不僅這個具體查詢不尋常,而且它是來自不同IP地址和數據庫用戶,而不是既定的地址和用戶。但SIM只針對這個奇怪查詢發出警報,而實際上,它可以針對奇怪的連接來源和登錄憑證發出警報。通過添加這個模式,分析師能夠確保在未來SIM會對這種事件發出警報,讓安全團隊更快響應。
大多數企業在業務流程和配套基礎設施方面持續進行著變革。我們都知道,變化是安全的頭號敵人,因為變化會帶來錯誤,而錯誤帶來安全風險。SIM通常是配置錯誤首先出現的位置,它們可能觸發安全警報或者只是不相關的看似虛假的日志信息。因此,安全人員應該密切關注SIM中與變更相關的事件,不僅因為變更可能帶來潛在的安全泄露,而且因為變更可能已經破壞了SIM的關聯和過濾模式。例如,應用中的常規升級可能將日志信息從“登錄失敗:未知用戶”改為“失敗登錄:無此用戶”。對于我們來說,這兩個消息沒什么區別,但對于SIM的字符串模式匹配引擎來說,這兩者完全不同。如果你在升級前收到警報,你將不會再收到警報。
然而,在最基本的層面,SIM讓你能夠改善政策和流程,而不只是技術。如果你收集不同的日志、更改模式或者引入新模式,你將會改進SIM。但如果你使用SIM來發現損壞或無效的過程,或誤用的安全政策,你會提高企業的整體安全性,而不只是SIM。
想要修復政策和流程,安全分析師需要的不僅僅是變更申請單。為了不斷改進,你必須執行事件后審查,并對流程改進有著明確目標。你需要查看安全事件,包括從員工無意的簡單政策違規行為到災難性破壞,以此審查你現有的政策和流程以尋求改進。
安全信息管理工具是安全企業武器庫的重要組成部分。這些工具具有很多功能,以至于很多公司都過于延伸,試圖快速做太多事情。其結果是,很多SIM部署失敗–因為性能問題、操作員過度勞累或者花費太多成本而沒有成效。為了避免這種結果,企業應該從小事做起,專注于單個目標,并逐步擴大范圍,直到成功。