數(shù)字化轉(zhuǎn)型:云SIEM日志如何保留
責編:gltian |2019-08-02 17:34:51公司企業(yè)追逐數(shù)字轉(zhuǎn)型夢想的路上,現(xiàn)場安全信息與事件管理 (SIEM) 遷移至云端 SIEM 是繞不過的一道坎兒。遷移過程中,CISO 仔細審查之前的安全事件與事件日志保留策略,回顧過往假設(shè)與過程。
在公共云上,數(shù)據(jù)保留受多種因素影響,比如不同選項、服務(wù)和價位。備份、二進制大對象 (Blob) 存儲、熱訪問、冷訪問……存儲和訪問安全事件及日志的方法數(shù)不勝數(shù)。且云存儲價格連年下降,只要不著急查看所存數(shù)據(jù),永久保留所有數(shù)據(jù)似乎實惠又省心。但實時威脅追捕需能快速訪問數(shù)據(jù),只有存儲價格更高的熱數(shù)據(jù)能賦予防御者這種數(shù)據(jù)訪問上的便利。SIEM 數(shù)據(jù)采用熱訪問存儲無疑是比較貴的數(shù)據(jù)存儲選項。查詢和主動威脅追捕所需的 SIEM 即時訪問,合規(guī)要求的事件及日志數(shù)據(jù)長期存儲,二者之間需要取得合理的平衡。那么,到底能不能達到最優(yōu)存儲平衡呢?
最近兩年的公開威脅報告指出,發(fā)現(xiàn)入侵的平均時間在 190 到 220 天之間,控制入侵的時間窗口在 60 到 100 天之間。因此,從統(tǒng)計數(shù)據(jù)上看,云 SIEM 中安全事件日志保持 220 天熱訪問存儲僅能幫助識別公司遭遇的半數(shù)入侵。很明顯,公司企業(yè)需要更長的安全日志熱訪問存儲期,尤其是對安全成熟度不高或安全運營能力欠缺的公司企業(yè)而言。
然而,SIEM 可發(fā)現(xiàn)的大量威脅及相關(guān)事件其實用不了這么長時間就能檢測到,而快速檢測自然能嚴重妨礙對手長期駐留的意圖。比如說,只要日志記錄配置合理,云 SIEM 能很輕松地自動拼出電子郵件網(wǎng)絡(luò)釣魚攻擊的殺傷鏈,幫助安全人員阻止惡意軟件安裝,切斷惡意命令與控制服務(wù)器 (C&C) 通信,防止高價值服務(wù)器管理員權(quán)限遭對手暴力破解。如今,此類場景幾乎在所有企業(yè)網(wǎng)絡(luò)安全事件中占了一半。
剛接觸云 SIEM 的公司企業(yè)最好從一年份事件日志滾動窗口開始,并測量入侵的頻率和緩解時間。更為久遠的事件日志可以選擇較便宜的云存儲選項,不用為威脅追捕保持即時可用的熱訪問狀態(tài)。
根據(jù)安全運營團隊緩解云 SIEM 產(chǎn)生事件的能力,如果團隊沒有足夠資源應(yīng)付無法解析的事件,減小滾動窗口時間是比較經(jīng)濟的做法。但未必明智。資源不足的安全團隊尋求托管安全服務(wù)提供商補足人手短缺更為合理。
于是,事件日志保留多年有何價值的問題又擺上了臺面。多年日志留存真的純粹只是合規(guī)清單上不得不勾選的一項嗎?
日常云 SIEM 運營可能大多按一年滾動窗口處理,但若以最新威脅情報和攻擊指標 (IoC) 為調(diào)查種子,對多年事件日志一年組織兩次威脅追捕,好處也是顯而易見的。這種周期性事件有兩個目標:降低云 SIEM 運營月平均成本(通過臨時加載和卸載歷史數(shù)據(jù)),以及讓團隊換種模式,深入更大范圍的數(shù)據(jù)集找尋 “慢速低頻” 入侵。如果檢測到較早期入侵事件,可以再納入更早期的事件日志,追尋入侵者滲透原點或查清被竊記錄完整范圍。
但要注意別一不小心陷入無限事件日志保留漩渦。如果發(fā)生數(shù)據(jù)泄露的公司僅留有兩年的日志,卻能追蹤到始于四年前的入侵,其面向客戶的公開披露在某些人(包括監(jiān)管者)聽來就更糟糕了。比如說,披露稱 “我們可以確認過去兩年間的客戶受到影響”,就比說 “2015 年 7 月 4 日以來的客戶受到影響” 更加糟糕。找出日志保留最佳點應(yīng)是董事會層級的決策。
遷移到云 SIEM 后,CISO 還需決定應(yīng)保留的日志類型和要采用的日志設(shè)置。
理想情況下,所有事件日志都應(yīng)傳至云 SIEM。這是因為驅(qū)動威脅檢測和自動化響應(yīng)的人工智能 (AI) 和日志分析系統(tǒng)依賴數(shù)據(jù)饋送。另外,最大限度地納入企業(yè)設(shè)備及應(yīng)用產(chǎn)生的日志,可以幫助減少檢測時間和去除潛在誤報,由而提升系統(tǒng)建議的整體可信度。
多數(shù)應(yīng)用和聯(lián)網(wǎng)設(shè)備都提供分級日志功能,所含內(nèi)容可從錯誤消息警報及錯誤信息,到錯誤、警告、狀態(tài)消息和調(diào)試信息等。總的說來,事件日志細節(jié)越豐富,為云 SIEM 提供的價值越大。從這個意義上講,將日志設(shè)置從 “普通” 升級為 “詳細”,可帶來多種威脅響應(yīng)效益,尤其是在處理錯誤配置和關(guān)鍵性確定的時候。
云 SIEM 和云 AI 創(chuàng)新仍在以驚人的速度共生發(fā)展。盡管大多數(shù)企業(yè)尚不熟悉云 SIEM,其利用公共云固有功能的能力卻正切實改變著安全運營狀態(tài)。不僅可以更快發(fā)現(xiàn)威脅和更高效管理響應(yīng),核心 AI 的持續(xù)進步也令云 SIEM 技術(shù)更具價值,與此同時,云端運營 SIEM 和存儲數(shù)據(jù)的成本還在不斷下降。通過維持一年滾動窗口的熱數(shù)據(jù),同時在一年兩次的威脅追捕中利用冷存儲的早期數(shù)據(jù),切實利用智能云對公司企業(yè)來說不再是遙遠的未來,而是就在眼前的當下。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧