重新思考如何使用SIEM產品
責編:admin |2015-02-10 14:55:38企業需要動態的情報驅動型防御措施來有效識別以前沒有見過的惡意行為;這些異常行為最終可能帶來危險的零日攻擊——這種攻擊每天在互聯網上肆虐。而企業防御的關鍵組成部分是安全信息和事件管理(SIEM)產品,SIEM為企業提供了中央存儲庫來收集和監控網絡行為。
不幸的是,糟糕的部署和供應商的過度銷售讓SIEM留下了不好的名聲。與此同時,很多企業部署SIEM只是為了滿足合規性報告要求,很少有企業充分利用該技術的事件管理功能。
然而,第二代SIEM產品可能會改變這種狀況。第二代SIEM具有先進的安全分析,并且數據收集也擴大了范圍及規模,這意味著很多不同的事件可以用來實時找出異常活動。
企業創造了海量的數據:電子郵件、文檔、社交媒體交互、音頻、網絡流量、點擊流、被訪問文件的日志信息、注冊表變更以及被啟動和停止的進程,這些數據可以用于發現異常活動。同時,系統信息(例如處理器和內存利用率)也可以用來發現系統中意想不到的變化。面對這龐大的數據,在評估下一代SIEM產品時,可擴展性、強大的分析工具以及對異構事件源的支持是最重要的功能,特別是當涉及時間敏感型程序(例如欺詐檢測)時。另一個關鍵因素是用于可視化和探索這些數據的工具,還有基于業務方面的可操作情報,這樣企業就可以發現并優先處理構成最大風險的威脅。
為了充分利用所有這些數據,以及通過發現深藏在企業數據中的線索以提高檢測率,SIEM需要利用“自適應智能”;換句話說,它必須了解什么是正常事件,從而認識什么是異常事件,因為異常事件是高級威脅或數據泄露事故的重要指標。SIEM還必須能夠識別攻擊模式,即使攻擊已經擴散了一段時間。設置SIEM規則是一個反復的過程,不過,有些產品能夠支持基于規則和無規則相關性的同時使用,從而減少初始配置時間,自動化登錄和身份驗證監控過程,以及減少誤報數量。雖然自學習算法仍然處于起步階段,但利用模糊邏輯、行為分析、聚類算法和策略規則的實時身份關聯能夠提供真正的無簽名檢測,以防止未經授權訪問,并在用戶、賬戶和資源水平找出異常活動。
另外,結合來自全球安全社區的外部威脅情報可以進一步明確什么是正常事件或可接受事件,這樣,分析將不再局限于一家企業產生的數據。對此,企業應尋找靈活的易于部署的數據來源,讓現有安全監控產品可以有效地利用它們。對結構化數據和非結構化數據的實時分析是必不可少的。
對于將數據存儲在云中的企業,他們應該尋找支持SIEM數據被內部SIEM收集的服務提供商。這能夠提供云計算和內部環境的統一視圖,前提是SIEM能夠處理供應商的數據—這可能是不同的格式。在平臺即服務(PaaS)環境中,企業可以安裝監控代理來推送流量和日志到內部服務器進行處理,而一些SIEM工具可以利用特定的軟件即服務(SaaS)應用程序接口來從公共云收集日志信息,這樣企業可以關聯跨多個平臺的事件,從而產生結合了內部和云計算應用的儀表板視圖以及審計報告。然而,網絡帶寬、延遲和數據傳輸成本阻礙著企業即時中斷惡意活動。
對于任何SIEM來說,為收集和分析的信息提供儀表板視圖是一個重要的功能,同樣重要的是,提供有效對策的可操作報告,這樣,管理員可以看到哪里最需要注意。同時,請不要忽視以不同方式輸出信息的功能,因為不同利益相關者可能想要關于牽扯到其利益的安全風險的信息,最后是以他們能夠理解的水平來呈現,以便他們充分體會到其相關性。這將會使討論更容易,并且更快速地找出最合適的做法。
為了加快決策,企業不僅需要向SIEM提供更多信息,以及讓它能夠更快發現事件;安全團隊還必須能夠更快反應和響應。事件響應團隊需要熟悉SIEM生成的警報和警告類型,并部署行之有效的程序。這不僅能夠確保正確的人知道采取正確的行動,而且這些工作能夠進行協調。
當然,安全團隊必須有能力來處理和響應SIEM生成的額外警報和警告,抽出時間來整理和分類數據資產將讓SIEM更好地優先排序威脅。SIEM內有時還包括資產發現和分析工具,這兩個工具能夠減少花在網絡資產分類的事件,也能夠應對配置變化以及硬件和軟件變更。
良好的安全性是一個持續的過程,資源豐富和良好配置的SIEM可以提供關于安全狀態、漏洞和威脅的實時信息,從而支持安全團隊管理和保護運行其核心任務和業務功能的信息系統。如果團隊有充足的資源和經過測試的程序,企業整體信息安全將會得到改善。在任何時候,這都是個有價值的目標。
下一篇:解析漏洞