对于大多数企业范围的组织而言,近年来数据泄露事件的数量激增和严重性严重程度导致其网络安全成本急剧增加。
在尽快投资于最先进技术的冲动中,了解现有的解决方案以及它们是否合适变得越来越重要。
安全产品增长最快的领域之一是用户行为分析工具,例如安全信息和事件管理 (SIEM) 系统,它从事件和身份验证日志中收集数据以建立正常活动的基线,然后使用该基线来 检测恶意用户行为和其他异常情况。 (要了解有关安全性的更多信息,请参阅超越治理和合规性:为什么 IT 安全风险很重要。)
如果类比有帮助,请想一想 ICU 监视器,其中中央显示器的连续观察有助于识别异常,进而触发警报,然后立即采取补救措施。 类似于将电极放置在患者皮肤上以创建心输出量管道,代理用作中间件以连接到服务器并创建将数据传输到虚拟日志收集器 (VLC) 的路径。
对于负担得起的公司来说,这项技术的消息就像是上世纪 90 年代的天赐之物,当时入侵和预防检测系统掀起的日志海啸为日志管理系统创造了巨大的真空。 然而,如今,SIEM 工具与主要用于日志管理的以日志为中心的系统相比已经有了很大的进步,因此实施这些工具的成本也很高。
近年来,SIEM 技术变得更加先进,具有原始数据包数据捕获和机器学习方法(如事件关联)等功能,可帮助发现通常绕过预防性控制的威胁。 Accenture 北美公共部门安全负责人 Lalit Ahluwalia 表示:“朝着持续检测攻击和适当保护的方向发展是一个过程,而 SIEM 是该过程中的关键推动因素。”
为了让任何企业部署 SIEM,他们必须经过详尽的需求收集阶段,在该阶段,他们的关键设备(包括网络、VoIP、安全和系统管理设备)产生的所有与安全相关的事件日志路径都将被记录下来 .
完成后,中间件代理将配置为将这些日志发送到 VLC,VLC 捕获原始数据包并将其传播到网络威胁主机,该主机使用行为分析算法和警报监控系统促进威胁检测和预防。
然而,实施和准备成本只是等式的一部分。 持续监控是另一部分。
下半场
客户公司将需要信息安全工程师和架构师等专职人员,以确保将新日志发送到代理、更新过滤器以减少误报、持续微调性能、监控磁盘空间和负载平衡 当网络开始需要更多带宽时,就会实施解决方案。
云透视
决定公司实施 SIEM 成本的主要因素之一是他们是否选择使用云服务 (SIEMaaS)。 随着越来越多的公司转向 IaaS、SaaS 和 PaaS,拥有与之集成的技术变得更加合乎逻辑,或者至少是必要时的选择。
当一个解决方案变得更具可扩展性时,它可能会变得比替代方案更便宜、实施起来更快。 但是,与本地解决方案相比,与其他设备的连接可能并不那么简单。
尽管取决于服务提供商的备份计划,SIEMaaS 可能会在发生故障转移时提供更可靠的备份安全性,因为可访问的云服务更有可能在孤立的数据中心出现故障时保持正常运行。 另一方面,如果中断是由云服务提供商造成的,客户公司最终可能会面临大量的技术混乱。
一些专家认为,将 SIEM 暴露在云端可能会增加组织的攻击面,因为他们的网络平台变得不那么孤立了。 然而,Hewlett Packard Enterprises 的安全解决方案架构师 Rahim Karmali 认为事实并非如此。 “这是你需要担心的入口点——你的手机、平板电脑、笔记本电脑等。这些设备通常漂浮在可能不安全的网络上。”
优点(一般的 SIEM)
撇开云的观点不谈,很明显,拥有 SIEM 的组织比没有 SIEM 的组织要好。 许多标准合规性报告要求,例如来自健康和保险流通与责任法案 (HIPAA)、支付卡行业数据安全标准 (PCI DSS) 和萨班斯-奥克斯利法案 (SOX) 的要求,都是通过集中式日志收集来满足的。
事件处理变得更加有效,因为没有人手动通过日志来查找攻击者通过网络的路径或攻击向量中的所有主机和服务器; 相反,SIEM 系统从鸟瞰图中识别并关联这些事件,然后重建事件序列以确定攻击的性质。
“它作为一种警报工具,能够通过关联来自应用程序、数据库、操作系统、网络和安全设备的日志信息来准确识别可疑事件,”Ahluwalia 说。
严重的攻击不再是孤立的,事件可以分布在多个系统中以避免被发现。 如果没有适当的 SIEM,恶意事件可能会像野火一样蔓延。
一些 SIEM 产品还能够通过向其他安全控制(例如防火墙和入侵防御系统)发送警报来阻止攻击。 Karmali 说:“公司不能再对恶意软件和勒索软件等事物采取被动的方法。” “他们需要一个能够提供可操作情报的系统。” (有关安全性的更多信息,请参阅仅仅加密是不够的:关于数据安全的 3 个关键事实。)
