重新思考如何使用SIEM产品

【文本转自http://security.ctocio.com.cn/424/12886424.shtml】

以前看到过这个文章的英文，现在看到了中译版，转载一下。

　　企业需要动态的情报驱动型防御措施来有效识别以前没有见过的恶意行为;这些异常行为最终可能带来危险的零日攻击――这种攻击每天在互联网上肆虐。而企业防御的关键组成部分是安全信息和事件管理(SIEM)产品，SIEM为企业提供了中央存储库来收集和监控网络行为。

　　不幸的是，糟糕的部署和供应商的过度销售让SIEM留下了不好的名声。与此同时，很多企业部署SIEM只是为了满足合规性报告要求，很少有企业充分利用该技术的事件管理功能。

　　然而，第二代SIEM产品可能会改变这种状况。第二代SIEM具有先进的安全分析，并且数据收集也扩大了范围及规模，这意味着很多不同的事件可以用来实时找出异常活动。

　　企业创造了海量的数据：电子邮件、文档、社交媒体交互、音频、网络流量、点击流、被访问文件的日志信息、注册表变更以及被启动和停止的进程，这些数据可以用于发现异常活动。同时，系统信息(例如处理器和内存利用率)也可以用来发现系统中意想不到的变化。面对这庞大的数据，在评估下一代SIEM产品时，可扩展性、强大的分析工具以及对异构事件源的支持是最重要的功能，特别是当涉及时间敏感型程序(例如欺诈检测)时。另一个关键因素是用于可视化和探索这些数据的工具，还有基于业务方面的可操作情报，这样企业就可以发现并优先处理构成最大风险的威胁。

　　为了充分利用所有这些数据，以及通过发现深藏在企业数据中的线索以提高检测率，SIEM需要利用“自适应智能”;换句话说，它必须了解什么是正常事件，从而认识什么是异常事件，因为异常事件是高级威胁或数据泄露事故的重要指标。SIEM还必须能够识别攻击模式，即使攻击已经扩散了一段时间。设置SIEM规则是一个反复的过程，不过，有些产品能够支持基于规则和无规则相关性的同时使用，从而减少初始配置时间，自动化登录和身份验证监控过程，以及减少误报数量。虽然自学习算法仍然处于起步阶段，但利用模糊逻辑、行为分析、聚类算法和策略规则的实时身份关联能够提供真正的无签名检测，以防止未经授权访问，并在用户、账户和资源水平找出异常活动。

　　另外，结合来自全球安全社区的外部威胁情报可以进一步明确什么是正常事件或可接受事件，这样，分析将不再局限于一家企业产生的数据。对此，企业应寻找灵活的易于部署的数据来源，让现有安全监控产品可以有效地利用它们。对结构化数据和非结构化数据的实时分析是必不可少的。

　　对于将数据存储在云中的企业，他们应该寻找支持SIEM数据被内部SIEM收集的服务提供商。这能够提供云计算和内部环境的统一视图，前提是SIEM能够处理供应商的数据―这可能是不同的格式。在平台即服务(PaaS)环境中，企业可以安装监控代理来推送流量和日志到内部服务器进行处理，而一些SIEM工具可以利用特定的软件即服务(SaaS)应用程序接口来从公共云收集日志信息，这样企业可以关联跨多个平台的事件，从而产生结合了内部和云计算应用的仪表板视图以及审计报告。然而，网络带宽、延迟和数据传输成本阻碍着企业即时中断恶意活动。

　　对于任何SIEM来说，为收集和分析的信息提供仪表板视图是一个重要的功能，同样重要的是，提供有效对策的可操作报告，这样，管理员可以看到哪里最需要注意。同时，请不要忽视以不同方式输出信息的功能，因为不同利益相关者可能想要关于牵扯到其利益的安全风险的信息，最后是以他们能够理解的水平来呈现，以便他们充分体会到其相关性。这将会使讨论更容易，并且更快速地找出最合适的做法。

　　为了加快决策，企业不仅需要向SIEM提供更多信息，以及让它能够更快发现事件;安全团队还必须能够更快反应和响应。事件响应团队需要熟悉SIEM生成的警报和警告类型，并部署行之有效的程序。这不仅能够确保正确的人知道采取正确的行动，而且这些工作能够进行协调。

　　当然，安全团队必须有能力来处理和响应SIEM生成的额外警报和警告，抽出时间来整理和分类数据资产将让SIEM更好地优先排序威胁。SIEM内有时还包括资产发现和分析工具，这两个工具能够减少花在网络资产分类的事件，也能够应对配置变化以及硬件和软件变更。

　　良好的安全性是一个持续的过程，资源丰富和良好配置的SIEM可以提供关于安全状态、漏洞和威胁的实时信息，从而支持安全团队管理和保护运行其核心任务和业务功能的信息系统。如果团队有充足的资源和经过测试的程序，企业整体信息安全将会得到改善。在任何时候，这都是个有价值的目标。