安全管理人员一直在探求改善信息安全的非常好的方法。在此过程中,他们发现成功的秘密就在企业当中,健全的安全就存在于日志数据、元数据、非结构化数据以及大量的其它数据中。“只在此山中,云深不知处”。但是,找到适当的数据并得出对IT和企业来说有意义的科学结论绝非易事。下面谈几个可以更好地理解IT风险的非常好的安全分析方法,使企业更好地保护资产。
1、不要认为SIEM全面解决了你的安全需要
许多企业试图深入地进行安全分析,这就需要重新思考他们进行分析所使用的数据。企业安全团队也许会确信已经全面解决了安全分析问题,因为他们已经拥有了SIEM或日志管理,但除了日志之外,安全人员还需要关注其它的许多数据。从包括人力资源记录到欺诈性数据在内的一切数据在传统上一般都不属于IT安全的范围,但正是这种数据与IT的安全数据有着非常有意义的结合点。企业并没有充分利用数据,没有充分发挥数据的全部功能。如果企业能够真正挖掘环境中的非结构化数据、元数据或者环境外的非结构化数据等,将极大地改善安全状况。
2、不能仅仅关注关于攻击者的数据
把重点从SIEM数据中转移出来还有另一个目的,因为大量的元数据、记录数据以及关于网络的其它数据都日益受到安全分析的重视。安全人员应更密切地关注企业的准备状态,而不仅仅重视关于潜在攻击者的数据。这也是成熟企业更好更全面地认识企业风险的一个重要标志。
“知彼知已,百战不殆”。安全团队不要仅仅重视分析攻击者,还要考虑一下自身。在此,不妨遥想一下战争年代作战指挥部的情形。战争的谋略家和指挥家们围绕在一张桌子旁,桌子上摆放着象征着不同物件或人物的模型。此时,他们已经获得了关于敌方行动的情报,这就像安全管理者获得SIEM的日志一样。但对于战争游戏,有两个至关重要的要素:军队部署和地形侦察。如果指挥者不知道自己的军队在哪里,作战指挥部就是在纸上谈兵,其决策毫无用处。如果指挥者没有掌握准确的地形信息,其思考和决策也必然存在巨大误差。对于信息安全而言,对网络的调查就相当于侦察地形,知道资产、防御及其状态就如同明确军队部署一样。对付攻击者,不能仅看他们在日志中的信息,还要确切地知道企业的资产是如何组织的,网络结构又是怎样的。毛泽东说“没有调查就没有发言权”,对于网络安全亦如此。
3、确定企业的重要问题
在安全团队寻找日志数据之外的其它数据源时,在决定衡量和分析哪些方面问题上,企业在行业中的地位、业务流程、企业资产等都扮演着重要角色。
在部署安全措施时,不可“抄袭”。对企业来说,理解自己所处的位置及被攻击的地方是很重要的。不同的企业有不同的攻击者,因而需要制定对付这些攻击者的具体措施。企业需要衡量每位员工容易在哪些方面暴露,确定或至少猜测一下关于企业数据的特征和攻击者会如何攻击的特定信息,强化关于企业具体业务的安全方法。这就是“具体问题具体分析”。
4、关注关键基础架构的变化
在考虑到企业需要时,找到应当持续监视的关键企业资产变得相对容易。企业的关键资产,不管是证书服务器还是特定的本地驱动,安全管理者都应当监视并分析其变化。
可以将变化分为系统变化(或配置变化)以及商业知识的变化。由于这些关键系统不应当有很多变化,所以发现问题不会花费太多时间。而对变化进行分组可以节省大量时间。
5、安全分析
企业用于分析的数据越多,就越容易看到数据的不完善方面。为了从数据中获得最好的结论,就需要在前期清理数据,而且要认识到在数据收集中存在的问题。
在把这些数据源组合在一起时,你可能会注意到一些矛盾问题。在你从两个不同的团队(这两个团队都在公司内部独立工作)收集数据时,你要整合这些数据,却发现这似乎不可能。
分析人员以整合数据和评估数据源为基础,可以进一步改善数据质量和数据分析的质量。如果将数据源组合在一起,分析人员会发现问题出在哪里,并认识到自己并没有扫描所有的主机,甚至会发现有的网络竟然不受控制,而且也没有得到完整的日志。
6、利用企业内部的业务情报专家
如果企业没有雄厚的财力雇佣数据专家去审查和分析安全数据,也不必放弃希望。安全分析人员可以请求企业的业务情报团队帮助进行分析。业务情报团队拥有其自己的数据存储机制,其人员未必受到过信息安全的良好培训,却有大量的专业技术,当然知道数据分析的重点。依靠业务情报部门可以使安全分析有一个良好的开端,至少对于安全分析是这样。
7、牢记安全数据也需要保护
安全团队收集的数据和分析信息越多,其资料库越容易成为攻击者的目标。随着安全分析的不断深入,分析人员必须知道,分析得到的数据要比公司数据更有吸引力,原因就在于这种数据掌握着揭示企业防御机制的秘密。
如果企业的安全工具还不如网络本身更安全,它就会成为可被攻击者利用的一个漏洞。例如,基于胖客户端的工具可以带来安全威胁,这是因为笔记本电脑上往往携带着大量的数据,而该种设备又有可能失窃或被渗透。在数据中心找到一个安全位置来存放安全数据有助于减少这些漏洞。
当然,以上的方法并非安全问题的最全面的解决之道,却可给安全团队提个醒儿,或可在安全分析时助一臂之力。