數字化轉型:云SIEM日志如何保留
責編:gltian |2019-08-02 17:34:51公司企業追逐數字轉型夢想的路上,現場安全信息與事件管理 (SIEM) 遷移至云端 SIEM 是繞不過的一道坎兒。遷移過程中,CISO 仔細審查之前的安全事件與事件日志保留策略,回顧過往假設與過程。
在公共云上,數據保留受多種因素影響,比如不同選項、服務和價位。備份、二進制大對象 (Blob) 存儲、熱訪問、冷訪問……存儲和訪問安全事件及日志的方法數不勝數。且云存儲價格連年下降,只要不著急查看所存數據,永久保留所有數據似乎實惠又省心。但實時威脅追捕需能快速訪問數據,只有存儲價格更高的熱數據能賦予防御者這種數據訪問上的便利。SIEM 數據采用熱訪問存儲無疑是比較貴的數據存儲選項。查詢和主動威脅追捕所需的 SIEM 即時訪問,合規要求的事件及日志數據長期存儲,二者之間需要取得合理的平衡。那么,到底能不能達到最優存儲平衡呢?
最近兩年的公開威脅報告指出,發現入侵的平均時間在 190 到 220 天之間,控制入侵的時間窗口在 60 到 100 天之間。因此,從統計數據上看,云 SIEM 中安全事件日志保持 220 天熱訪問存儲僅能幫助識別公司遭遇的半數入侵。很明顯,公司企業需要更長的安全日志熱訪問存儲期,尤其是對安全成熟度不高或安全運營能力欠缺的公司企業而言。
然而,SIEM 可發現的大量威脅及相關事件其實用不了這么長時間就能檢測到,而快速檢測自然能嚴重妨礙對手長期駐留的意圖。比如說,只要日志記錄配置合理,云 SIEM 能很輕松地自動拼出電子郵件網絡釣魚攻擊的殺傷鏈,幫助安全人員阻止惡意軟件安裝,切斷惡意命令與控制服務器 (C&C) 通信,防止高價值服務器管理員權限遭對手暴力破解。如今,此類場景幾乎在所有企業網絡安全事件中占了一半。
剛接觸云 SIEM 的公司企業最好從一年份事件日志滾動窗口開始,并測量入侵的頻率和緩解時間。更為久遠的事件日志可以選擇較便宜的云存儲選項,不用為威脅追捕保持即時可用的熱訪問狀態。
根據安全運營團隊緩解云 SIEM 產生事件的能力,如果團隊沒有足夠資源應付無法解析的事件,減小滾動窗口時間是比較經濟的做法。但未必明智。資源不足的安全團隊尋求托管安全服務提供商補足人手短缺更為合理。
于是,事件日志保留多年有何價值的問題又擺上了臺面。多年日志留存真的純粹只是合規清單上不得不勾選的一項嗎?
日常云 SIEM 運營可能大多按一年滾動窗口處理,但若以最新威脅情報和攻擊指標 (IoC) 為調查種子,對多年事件日志一年組織兩次威脅追捕,好處也是顯而易見的。這種周期性事件有兩個目標:降低云 SIEM 運營月平均成本(通過臨時加載和卸載歷史數據),以及讓團隊換種模式,深入更大范圍的數據集找尋 “慢速低頻” 入侵。如果檢測到較早期入侵事件,可以再納入更早期的事件日志,追尋入侵者滲透原點或查清被竊記錄完整范圍。
但要注意別一不小心陷入無限事件日志保留漩渦。如果發生數據泄露的公司僅留有兩年的日志,卻能追蹤到始于四年前的入侵,其面向客戶的公開披露在某些人(包括監管者)聽來就更糟糕了。比如說,披露稱 “我們可以確認過去兩年間的客戶受到影響”,就比說 “2015 年 7 月 4 日以來的客戶受到影響” 更加糟糕。找出日志保留最佳點應是董事會層級的決策。
遷移到云 SIEM 后,CISO 還需決定應保留的日志類型和要采用的日志設置。
理想情況下,所有事件日志都應傳至云 SIEM。這是因為驅動威脅檢測和自動化響應的人工智能 (AI) 和日志分析系統依賴數據饋送。另外,最大限度地納入企業設備及應用產生的日志,可以幫助減少檢測時間和去除潛在誤報,由而提升系統建議的整體可信度。
多數應用和聯網設備都提供分級日志功能,所含內容可從錯誤消息警報及錯誤信息,到錯誤、警告、狀態消息和調試信息等。總的說來,事件日志細節越豐富,為云 SIEM 提供的價值越大。從這個意義上講,將日志設置從 “普通” 升級為 “詳細”,可帶來多種威脅響應效益,尤其是在處理錯誤配置和關鍵性確定的時候。
云 SIEM 和云 AI 創新仍在以驚人的速度共生發展。盡管大多數企業尚不熟悉云 SIEM,其利用公共云固有功能的能力卻正切實改變著安全運營狀態。不僅可以更快發現威脅和更高效管理響應,核心 AI 的持續進步也令云 SIEM 技術更具價值,與此同時,云端運營 SIEM 和存儲數據的成本還在不斷下降。通過維持一年滾動窗口的熱數據,同時在一年兩次的威脅追捕中利用冷存儲的早期數據,切實利用智能云對公司企業來說不再是遙遠的未來,而是就在眼前的當下。