完美世界国际版下载,穿越小说完本,女强穿越玄幻完结小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

如何解決遺留應(yīng)用程序造成的SIEM可見性問題

安全信息和事件管理系統(tǒng) (SIEM) 想要訪問遺留應(yīng)用程序中的日志文件和其他數(shù)據(jù)通常比較困難。下面是一些能夠提高可見性的方法。

隨著公司越來越善于通過分析日志數(shù)據(jù)發(fā)現(xiàn)潛在的安全威脅，遺留應(yīng)用程序會帶來難以覆蓋的盲區(qū)。數(shù)據(jù)安全公司Spirion的首席創(chuàng)新官Gabriel Gumbs表示：現(xiàn)代SIEM (Security Information and Event Management，安全信息和事件管理)已經(jīng)超越了它們自己的傳統(tǒng)功能集，成為了先進的威脅檢測和響應(yīng)平臺。

他表示遺留應(yīng)用程序提供的日志數(shù)據(jù)并不總是能夠有效的遷移到這些平臺上。例如，遺留應(yīng)用程序可能會報告誰有權(quán)訪問系統(tǒng)，但不會報告他們有權(quán)訪問這些系統(tǒng)中的哪些內(nèi)容。這個可見性問題需要解決，他說道。

當必須監(jiān)控遺留應(yīng)用程序來發(fā)現(xiàn)威脅時，問題會更加嚴重。例如，這些應(yīng)用程序被構(gòu)建時的安全需求可能與我們今天的需求大不相同，或者它們是在廣泛使用最佳實踐前被構(gòu)建的。

這些遺留應(yīng)用程序還可能擁有已知的漏洞，需要過時和不安全的基礎(chǔ)設(shè)施，或訪問敏感數(shù)據(jù)或關(guān)鍵系統(tǒng)。“以能源行業(yè)為例”，總部位于英國的初創(chuàng)企業(yè) Furnace Ignite(該公司使得從遺留應(yīng)用程序中收集數(shù)據(jù)并將其提供給 SIEM 變得更加容易)首席網(wǎng)絡(luò)安全工程師 David Mound 表示，他們有SCADA基礎(chǔ)設(shè)施，這些東西已經(jīng)存在很多年了。

避免不必要的驚喜

David Mound 表示公司有時不想接觸正在運行的應(yīng)用程序。不僅僅是在能源領(lǐng)域。

一般來說，當我從事咨詢工作時，大多數(shù)公司似乎都有一些遺留的應(yīng)用程序。薪酬之類的東西，多年來一直沒動過。

遺留應(yīng)用程序常常不能提供公司所需的監(jiān)控。例如，它們可能會生成性能數(shù)據(jù)，但不能詳細說明哪些用戶訪問了哪些數(shù)據(jù)，或者缺少了安全研究人員賴以發(fā)現(xiàn)事件的環(huán)境。如果它們生成了日志，這些日志可能也是以某種專有的、難以使用的格式存儲的。

網(wǎng)絡(luò)安全公司 Trustwave 負責(zé)威脅情報和檢測的全球主管 Jeremy Batterman 表示：特別是內(nèi)部開發(fā)的遺留應(yīng)用程序，將會存在明顯的可見性問題。

他說當有網(wǎng)絡(luò)安全事件發(fā)生并需要進行調(diào)查時，這是一個大問題。他說：在我處理過的事件響應(yīng)案例中，往往是一次性的應(yīng)用程序?qū)е铝藛栴}。

此外，缺少日志記錄可能會加劇遺留應(yīng)用程序的其他安全問題。例如，在一個案例中，一個公司有一個既連接到互聯(lián)網(wǎng)又連接到其內(nèi)部網(wǎng)絡(luò)的遺留應(yīng)用程序，而沒有把它放在 DMZ 中。

他們也沒有意識到，他們使用的是舊版本的 JBoss 和 Apache，這對于攻擊者來說是輕而易舉的。一旦它被入侵，因為沒有可見性，攻擊者很容易就能在網(wǎng)絡(luò)上移動。

在調(diào)查事故期間，Batterman 表示他經(jīng)常問公司，他們?yōu)槭裁匆Ａ暨@個遺留應(yīng)用程序?！巴ǔ：湾X有關(guān)”，他說道?！案Ｒ姷那闆r是，這種方法適用于他們，所以為什么要改變它呢?”埃森哲 (Accenture) 對聯(lián)邦 IT 主管的一項調(diào)查顯示，37% 的人表示遺留應(yīng)用程序?qū)λ麄兊钟W(wǎng)絡(luò)威脅是一個阻礙，85% 的人表示除非他們更新技術(shù)，否則他們所在組織機構(gòu)在未來將受到威脅。

網(wǎng)絡(luò)安全咨詢公司 BTB Security 的管理合伙人 Ron Schlecht 表示，為了發(fā)現(xiàn)環(huán)境中有多少遺留應(yīng)用程序，企業(yè)應(yīng)該把它們作為威脅和漏洞評估的一部分。他說有時候企業(yè)很清楚自己的遺留應(yīng)用程序不安全，因為他們在試圖擺脫它們。

遺留應(yīng)用程序有時會被忽略。在大多數(shù)情況下，這些應(yīng)用程序很少會被使用，或者僅被較小的部門使用，因為沒有任何問題，人們會繼續(xù)使用它們。

有時候應(yīng)用程序已經(jīng)被替換了，但是遺留版本仍然在運行，這往往讓人驚訝。有時候，他們只是忘了關(guān)掉它。有時候，他們?nèi)匀幌Ｍ軌蛟趹?yīng)用程序中訪問舊的歷史數(shù)據(jù)。

Schlect 表示無論是哪個原因，這些應(yīng)用程序和服務(wù)器都處于閑置狀態(tài)。任何時候只要環(huán)境中有這些存在，就有可能會有人濫用它們。如果應(yīng)用程序正在以管理員權(quán)限運行，或者具有可用于升級訪問權(quán)限的功能，則尤其危險。如果應(yīng)用程序在舊服務(wù)器上，那么其環(huán)境中也可能存在漏洞。

現(xiàn)代化遺留應(yīng)用程序

Schlecht 表示，第一步是確定原始供應(yīng)商是否能夠幫忙將日志數(shù)據(jù)從遺留系統(tǒng)遷移到 SIEM。也許供應(yīng)商可以提供一個 API 或者至少一些文檔。如果沒有，可以通過定制開發(fā)工作來嘗試從應(yīng)用程序中獲取日志。

另一個策略是使整個應(yīng)用程序現(xiàn)代化，而不僅僅是日志功能。這樣不僅滿足了公司的網(wǎng)絡(luò)安全需求，還能夠滿足合規(guī)、可擴展性和其他業(yè)務(wù)需求。根據(jù) Gartner的一份報告，到 2020 年，在數(shù)字商業(yè)創(chuàng)新上每投入一美元，就至少有其三倍的資金花在了傳統(tǒng)應(yīng)用程序的現(xiàn)代化上。這筆投資是值得的。除了安全風(fēng)險之外，遺留應(yīng)用程序可能無法滿足當今的業(yè)務(wù)需求，無法跟上技術(shù)變革的步伐，難以進行擴展，可能會產(chǎn)生合規(guī)風(fēng)險，而且維護成本過高。

根據(jù) Gartner 的另一份報告，實現(xiàn)遺留應(yīng)用程序現(xiàn)代化的主要方法有七種：

將其封裝，并作為服務(wù)提供。
重新托管。
將其移動到一個新的運行平臺。
重構(gòu)代碼。
重新架構(gòu)應(yīng)用程序。
完全重建或進行重寫。
替換應(yīng)用程序，考慮到新的要求和需求。

過度策略

當無法對傳統(tǒng)應(yīng)用程序進行現(xiàn)代化或替換時，企業(yè)可以采用一些過度策略來解決一些可見性問題。例如，如果一個應(yīng)用程序有一個后端數(shù)據(jù)庫，那么人們就有可能從數(shù)據(jù)庫本身獲取訪問和使用信息，Trustwave 的 Batterman 說道，如果有流量進出應(yīng)用程序，網(wǎng)絡(luò)傳感器可以用來捕獲數(shù)據(jù)包。

Batterman 表示無論采用哪種過度策略，企業(yè)也應(yīng)該為其遺留應(yīng)用程序進行特別保護。

也許我們可以建立一個更封閉的系統(tǒng)，或者只提供一小部分服務(wù)。他們可以做一些架構(gòu)調(diào)整，防止它們出現(xiàn)在前線。

例如，BTB 的 Schlecht 表示，很多企業(yè)面臨著不得不維護一個舊的、不安全的應(yīng)用程序的問題，他們會將其沙箱化，并將其放到虛擬環(huán)境或云環(huán)境中。這樣，如果它受到攻擊，對組織機構(gòu)其他部分的影響將會是最小的。

>
標題名稱：如何解決遺留應(yīng)用程序造成的SIEM可見性問題
分享網(wǎng)址：http://m.fisionsoft.com.cn/article/djhgisc.html

新聞中心

其他資訊