辰东完美世界有声小说,盗墓笔记小说下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

從安全信息管理系統(tǒng)獲得可操作的結果

安全信息管理(SIM)是用于從日志文件和其他來源收集安全信息以檢測和響應安全事件的技術，SIM的應用正變得越來越廣泛?，F(xiàn)在的服務器、網(wǎng)絡設備和應用產(chǎn)生海量日志數(shù)據(jù)和各種類型的信息，這些海量數(shù)據(jù)可以被分析、關聯(lián)和過濾，從而推動與安全、合規(guī)和應用性能相關的各種決策。雖然有很多可能的用途，但SIM解決方案必須專注，否則會被信息過載、性能問題“淹沒”，變得一無是處。

“專業(yè)、務實、高效、創(chuàng)新、把客戶的事當成自己的事”是我們每一個人一直以來堅持追求的企業(yè)文化。成都創(chuàng)新互聯(lián)公司是您可以信賴的網(wǎng)站建設服務商、專業(yè)的互聯(lián)網(wǎng)服務提供商! 專注于成都網(wǎng)站建設、成都網(wǎng)站制作、軟件開發(fā)、設計服務業(yè)務。我們始終堅持以客戶需求為導向，結合用戶體驗與視覺傳達，提供有針對性的項目解決方案，提供專業(yè)性的建議，創(chuàng)新互聯(lián)建站將不斷地超越自我，追逐市場，引領市場！

為SIM設定有限目標

SIM的功能是在大量安全事件中尋找特定安全事件的“蛛絲馬跡”。簡單地說，SIM是在針堆里找針。這是一項艱巨的任務，然而，很多公司試圖使用SIM做太多工作，使“針堆”越來越大，“找針”的工作也越來越困難。

部署SIM第一項也是最重要的部分是專注于一個目標或者一組有限的目標。SIM是用來檢測入侵?用來尋找違規(guī)行為?還是專注于內(nèi)部或外部攻擊?對于這么多可能的用途，企業(yè)很容易失去焦點，并試圖完成上述所有任務。你試圖通過SIM解決的問題越多，SIM解決這些問題中的任何一個問題的效率就越低。

你應該收集哪些日志?如果你為SIM設定了特定的目標，你就可以很容易確定需要收集的數(shù)據(jù)。例如，如果你決定關注支付卡行業(yè)數(shù)據(jù)安全標準(PCI-DSS)的合規(guī)性，那么，防火墻日志將是你必須收集和分析的首要數(shù)據(jù)。PCI是為數(shù)不多的規(guī)范性法規(guī)之一，因此，有很多關于日志收集的具體指導。但其他法規(guī)并沒有那么容易：例如，HIPAA要求你保護個人健康信息(PHI)，但對此你應該收集什么日志呢?

日志收集的常見錯誤是，安全專家在這個過程中過早地使用過濾。例如，在醫(yī)療機構，SIM被配置為僅收集失敗登錄嘗試的日志信息。其理由是，這種日志信息可能表明有人試圖入侵系統(tǒng)。然而，當發(fā)生數(shù)據(jù)泄露事故時，該公司發(fā)現(xiàn)攻擊者已經(jīng)成功盜用了用戶密碼。攻擊者并沒有產(chǎn)生失敗登錄日志信息，他們使用合法用戶賬戶成功登錄了系統(tǒng)。但這些成功登錄信息并沒有被收集，負責分析該泄露事故的安全專家將無法看到攻擊者做了什么。

這是一個艱難的權衡：如果你不收集一些具體的細節(jié)數(shù)據(jù)，當你在數(shù)據(jù)泄漏事故后需要查看歷史數(shù)據(jù)時，你將無法看到這些數(shù)據(jù)。但如果你收集所有數(shù)據(jù)，你將會面臨性能和存儲增長問題。看似不重要的小細節(jié)可能是事故后需要的關鍵數(shù)據(jù)。

在數(shù)據(jù)泄露事故后，SIM不僅可用于對歷史數(shù)據(jù)進行取證分析。很多企業(yè)還將SIM解決方案作為安全運營中心(SOC)實時事件響應的基礎。實時事件響應和事件后歷史分析的區(qū)別很關鍵，因為這兩者的目標往往不一致--如果說不是直接矛盾的話。針對實時分析的SIM解決方案被調(diào)整為高性能相關性和過濾，盡量減少收集的信息。然而，為了提高SIM用于事故后歷史分析的可操作性，你必須以完全相反的方式對它進行調(diào)整，以最大化收集和存儲的信息。

可操作的結果是指可用于業(yè)務流程的結果。如果你的目標是合規(guī)性，那么，流程應該產(chǎn)生年度審計報告。如果你的目標是數(shù)據(jù)泄露檢測，那么，這種結果應該能夠允許分析師通過事件響應流程對安全警報進行調(diào)查。如果你試圖提高安全操作，那么，SIM結果應該支持變更和配置管理流程。如果沒有明確的目標以及你想實現(xiàn)的流程，SIM無法產(chǎn)生可操作的結果。#p#

讓SIM成為安全監(jiān)管計劃的一部分

當你讓SIM專注于單個目標，并成功地將它整合到你的標準安全操作中，那么，你就可以開始逐漸轉移注意力去解決其他業(yè)務挑戰(zhàn)。這并不意味著收集更多數(shù)據(jù)，因為這只會讓SIM速度變慢和失去焦點。相反地，這意味著尋找新方法來重新使用SIM結果作為你的整體安全監(jiān)管計劃的一部分。

很多公司正在逐漸將其注意力從合規(guī)轉移到風險管理。風險管理意味著查看企業(yè)面臨的風險，并根據(jù)對企業(yè)的風險優(yōu)先安排安全控制和事件響應來管理風險。對于SIM解決方案，這意味著關聯(lián)安全事件信息和風險信息，例如：

用戶身份/角色：涉及或影響哪些用戶/角色

系統(tǒng)風險：受影響系統(tǒng)是否是關鍵業(yè)務系統(tǒng)

應用風險：受影響應用是否是業(yè)務關鍵應用

為了將風險管理添加到SIM產(chǎn)品中，你不一定要收集更多日志。在大多數(shù)情況下，你可以向現(xiàn)有日志數(shù)據(jù)補充關于應用、系統(tǒng)、用戶和角色的風險/關鍵程度的信息。例如，很多SIM產(chǎn)品讓安全分析師可以根據(jù)關鍵程度將服務器分為不同級別，可使用數(shù)字分數(shù)(例如1至5分，其中1為最關鍵，5為最不關鍵)或標簽(例如高級、中級或低級)。這些額外的屬性給你的結果添加了另一個視角，讓安全專業(yè)人員可以優(yōu)先業(yè)務關鍵安全事件，而推后非關鍵事件。這里關鍵的區(qū)別在于，關鍵程度是業(yè)務屬性，而不是安全屬性。

同樣地，為了讓SIM適應法規(guī)合規(guī)性，你不一定需要更多日志。在很多情況下，你必須關聯(lián)現(xiàn)有SIM結果到特定審計報告要求或規(guī)則。大多數(shù)法規(guī)代表著行業(yè)需要部署的最小安全控制。如果你的SIM被設計為支持強大的安全程序，你可能已經(jīng)收集了合規(guī)所需的所有日志。

一些企業(yè)可能想要部署實時響應到安全事件。毫無疑問，這是所有公司的宏偉目標。實時響應要求近乎完美的技術、流程和人員，這方面很少有公司是成功的。如果你試圖實現(xiàn)這個雄心勃勃的目標，請確保這是完善的成功的SIM部署的最終目標，而不是第一個目標。為了讓SIM適用于實時關聯(lián)和分析，你必須選出日志數(shù)據(jù)的一個子集來進行關聯(lián)。對太多日志數(shù)據(jù)進行實時分析會降低性能，而收集太少日志則會讓事故后分析無法實現(xiàn)，因為記錄中會有很多空白。成功的部署會將日志數(shù)據(jù)劃分到長期歸檔中，這能保證盡可能全面的日志數(shù)據(jù)，以及更少的日志數(shù)據(jù)用于關聯(lián)和警報。

成功的關鍵是漸進化：從有限的專注的目標開始，然后逐漸增加功能，同時確保SIM系統(tǒng)不會被數(shù)據(jù)淹沒。如果你將SIM解決方案作為廣泛的操作過程的一部分，你會發(fā)現(xiàn)最薄弱的環(huán)節(jié)并不是技術，而是操作者。如果你為SIM設定了過于宏偉的目標，你會看到，這個系統(tǒng)被日志數(shù)據(jù)覆蓋，并且，你的工作人員也會被日志結果淹沒。面對產(chǎn)生太多結果和警報的SIM的操作人員，他們只有兩個選擇：停止產(chǎn)生結果，這可能錯過安全事件;或者忽略警報。很多SIM部署項目會出現(xiàn)其中一種情況或兩種情況，在一段時間后，SIM最終不得不被廢棄或取消。#p#

安全kaizen：SIM用于持續(xù)質量改進

看待SIM的一個有趣方式是將它作為安全計劃的反饋環(huán)節(jié)。所有政策、配置和安全設備最終會以安全事件的形式來表達自己。SIM是風險管理程序的很好的良性循環(huán)機制，還可以用它來確定政策是否在合理運作。

為了將SIM變?yōu)閺姶蟮姆答仚C制，安全運營經(jīng)理必須將其作為持續(xù)改進計劃的一部分。SIM生成的每個事件都預示著企業(yè)安全的成功或失敗。當安全專業(yè)人員查看安全事件時，他們有可能越過這個事件，并發(fā)現(xiàn)政策、流程或控制存在的根本問題。在日本制造業(yè)，持續(xù)質量改進的過程被稱為“kaizen”，對改善安全程序產(chǎn)生巨大影響的概念。

在檢查的第一級，安全事件可能突顯出日志收集過程中的遺漏或錯誤。在審查事件時，安全分析師會發(fā)現(xiàn)日志信息的關鍵部分沒有被收集。在很多情況下，企業(yè)對這種發(fā)現(xiàn)并沒有馬上采取行動，沒有帶來任何變化。而在持續(xù)改進過程中，安全分析師將能夠提交變更申請表以添加日志到收集中。

在審查安全事件的過程中，安全分析師會發(fā)現(xiàn)一個較早期的重要事件但沒有生成警報。這里，企業(yè)能夠通過添加警報模式到SIM來改進過程。例如，分析師會收到關于不恰當數(shù)據(jù)庫訪問模式的警報，如不尋常的SQL查詢。在調(diào)查該事件時，分析師發(fā)現(xiàn)不僅這個具體查詢不尋常，而且它是來自不同IP地址和數(shù)據(jù)庫用戶，而不是既定的地址和用戶。但SIM只針對這個奇怪查詢發(fā)出警報，而實際上，它可以針對奇怪的連接來源和登錄憑證發(fā)出警報。通過添加這個模式，分析師能夠確保在未來SIM會對這種事件發(fā)出警報，讓安全團隊更快響應。

大多數(shù)企業(yè)在業(yè)務流程和配套基礎設施方面持續(xù)進行著變革。我們都知道，變化是安全的頭號敵人，因為變化會帶來錯誤，而錯誤帶來安全風險。SIM通常是配置錯誤首先出現(xiàn)的位置，它們可能觸發(fā)安全警報或者只是不相關的看似虛假的日志信息。因此，安全人員應該密切關注SIM中與變更相關的事件，不僅因為變更可能帶來潛在的安全泄露，而且因為變更可能已經(jīng)破壞了SIM的關聯(lián)和過濾模式。例如，應用中的常規(guī)升級可能將日志信息從“登錄失?。何粗脩簟备臑椤笆〉卿洠簾o此用戶”。對于我們來說，這兩個消息沒什么區(qū)別，但對于SIM的字符串模式匹配引擎來說，這兩者完全不同。如果你在升級前收到警報，你將不會再收到警報。

然而，在最基本的層面，SIM讓你能夠改善政策和流程，而不只是技術。如果你收集不同的日志、更改模式或者引入新模式，你將會改進SIM。但如果你使用SIM來發(fā)現(xiàn)損壞或無效的過程，或誤用的安全政策，你會提高企業(yè)的整體安全性，而不只是SIM。

想要修復政策和流程，安全分析師需要的不僅僅是變更申請單。為了不斷改進，你必須執(zhí)行事件后審查，并對流程改進有著明確目標。你需要查看安全事件，包括從員工無意的簡單政策違規(guī)行為到災難性破壞，以此審查你現(xiàn)有的政策和流程以尋求改進。

安全信息管理工具是安全企業(yè)武器庫的重要組成部分。這些工具具有很多功能，以至于很多公司都過于延伸，試圖快速做太多事情。其結果是，很多SIM部署失敗--因為性能問題、操作員過度勞累或者花費太多成本而沒有成效。為了避免這種結果，企業(yè)應該從小事做起，專注于單個目標，并逐步擴大范圍，直到成功。

分享題目：從安全信息管理系統(tǒng)獲得可操作的結果
標題來源：http://m.fisionsoft.com.cn/article/copgeho.html

新聞中心

其他資訊