安全信息管理(SIM)是用于从日志文件和其他来源收集安全信息以检测和响应安全事件的技术,SIM的应用正变得越来越广泛。现在的服务器、网络设备和应用产生海量日志数据和各种类型的信息,这些海量数据可以被分析、关联和过滤,从而推动与安全、合规和应用性能相关的各种决策。虽然有很多可能的用途,但SIM解决方案必须专注,否则会被信息过载、性能问题“淹没”,变得一无是处。
为SIM设定有限目标
SIM的功能是在大量安全事件中寻找特定安全事件的“蛛丝马迹”。简单地说,SIM是在针堆里找针。这是一项艰巨的任务,然而,很多公司试图使用SIM做太多工作,使“针堆”越来越大,“找针”的工作也越来越困难。
部署SIM第一项也是最重要的部分是专注于一个目标或者一组有限的目标。SIM是用来检测入侵?用来寻找违规行为?还是专注于内部或外部攻击?对于这么多可能的用途,企业很容易失去焦点,并试图完成上述所有任务。你试图通过SIM解决的问题越多,SIM解决这些问题中的任何一个问题的效率就越低。
你应该收集哪些日志?如果你为SIM设定了特定的目标,你就可以很容易确定需要收集的数据。例如,如果你决定关注支付卡行业数据安全标准(PCI-DSS)的合规性,那么,防火墙日志将是你必须收集和分析的首要数据。PCI是为数不多的规范性法规之一,因此,有很多关于日志收集的具体指导。但其他法规并没有那么容易:例如,HIPAA要求你保护个人健康信息(PHI),但对此你应该收集什么日志呢?
日志收集的常见错误是,安全专家在这个过程中过早地使用过滤。例如,在医疗机构,SIM被配置为仅收集失败登录尝试的日志信息。其理由是,这种日志信息可能表明有人试图入侵系统。然而,当发生数据泄露事故时,该公司发现攻击者已经成功盗用了用户密码。攻击者并没有产生失败登录日志信息,他们使用合法用户账户成功登录了系统。但这些成功登录信息并没有被收集,负责分析该泄露事故的安全专家将无法看到攻击者做了什么。
这是一个艰难的权衡:如果你不收集一些具体的细节数据,当你在数据泄漏事故后需要查看历史数据时,你将无法看到这些数据。但如果你收集所有数据,你将会面临性能和存储增长问题。看似不重要的小细节可能是事故后需要的关键数据。
在数据泄露事故后,SIM不仅可用于对历史数据进行取证分析。很多企业还将SIM解决方案作为安全运营中心(SOC)实时事件响应的基础。实时事件响应和事件后历史分析的区别很关键,因为这两者的目标往往不一致--如果说不是直接矛盾的话。针对实时分析的SIM解决方案被调整为高性能相关性和过滤,尽量减少收集的信息。然而,为了提高SIM用于事故后历史分析的可操作性,你必须以完全相反的方式对它进行调整,以最大化收集和存储的信息。
可操作的结果是指可用于业务流程的结果。如果你的目标是合规性,那么,流程应该产生年度审计报告。如果你的目标是数据泄露检测,那么,这种结果应该能够允许分析师通过事件响应流程对安全警报进行调查。如果你试图提高安全操作,那么,SIM结果应该支持变更和配置管理流程。如果没有明确的目标以及你想实现的流程,SIM无法产生可操作的结果。
让SIM成为安全监管计划的一部分
当你让SIM专注于单个目标,并成功地将它整合到你的标准安全操作中,那么,你就可以开始逐渐转移注意力去解决其他业务挑战。这并不意味着收集更多数据,因为这只会让SIM速度变慢和失去焦点。相反地,这意味着寻找新方法来重新使用SIM结果作为你的整体安全监管计划的一部分。
很多公司正在逐渐将其注意力从合规转移到风险管理。风险管理意味着查看企业面临的风险,并根据对企业的风险优先安排安全控制和事件响应来管理风险。对于SIM解决方案,这意味着关联安全事件信息和风险信息,例如:
•用户身份/角色:涉及或影响哪些用户/角色
•系统风险:受影响系统是否是关键业务系统
•应用风险:受影响应用是否是业务关键应用
为了将风险管理添加到SIM产品中,你不一定要收集更多日志。在大多数情况下,你可以向现有日志数据补充关于应用、系统、用户和角色的风险/关键程度的信息。例如,很多SIM产品让安全分析师可以根据关键程度将服务器分为不同级别,可使用数字分数(例如1至5分,其中1为最关键,5为最不关键)或标签(例如高级、中级或低级)。这些额外的属性给你的结果添加了另一个视角,让安全专业人员可以优先业务关键安全事件,而推后非关键事件。这里关键的区别在于,关键程度是业务属性,而不是安全属性。
同样地,为了让SIM适应法规合规性,你不一定需要更多日志。在很多情况下,你必须关联现有SIM结果到特定审计报告要求或规则。大多数法规代表着行业需要部署的最小安全控制。如果你的SIM被设计为支持强大的安全程序,你可能已经收集了合规所需的所有日志。
一些企业可能想要部署实时响应到安全事件。毫无疑问,这是所有公司的宏伟目标。实时响应要求近乎完美的技术、流程和人员,这方面很少有公司是成功的。如果你试图实现这个雄心勃勃的目标,请确保这是完善的成功的SIM部署的最终目标,而不是第一个目标。为了让SIM适用于实时关联和分析,你必须选出日志数据的一个子集来进行关联。对太多日志数据进行实时分析会降低性能,而收集太少日志则会让事故后分析无法实现,因为记录中会有很多空白。成功的部署会将日志数据划分到长期归档中,这能保证尽可能全面的日志数据,以及更少的日志数据用于关联和警报。
成功的关键是渐进化:从有限的专注的目标开始,然后逐渐增加功能,同时确保SIM系统不会被数据淹没。如果你将SIM解决方案作为广泛的操作过程的一部分,你会发现最薄弱的环节并不是技术,而是操作者。如果你为SIM设定了过于宏伟的目标,你会看到,这个系统被日志数据覆盖,并且,你的工作人员也会被日志结果淹没。面对产生太多结果和警报的SIM的操作人员,他们只有两个选择:停止产生结果,这可能错过安全事件;或者忽略警报。很多SIM部署项目会出现其中一种情况或两种情况,在一段时间后,SIM最终不得不被废弃或取消。