移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

从安然信息治理系统获得可把持的成果

时间:2014-02-27 12:49来源:TuZhiJiaMi企业信息安全专家 点击:
安然信息治理(SIM)是用于从日记文件和其他来历汇集安然信息以检测和响应安然事务的手艺,SIM的利用正变得愈来愈遍及。此刻的办事器、收集设备和利用产生海量日记数据和各类类型的信息,
Tags应用安全(1006)安全信息管理(1)  

  安然信息治理(SIM)是用于从日记文件和其他来历汇集安然信息以检测和响应安然事务的手艺,SIM的利用正变得愈来愈遍及。此刻的办事器、收集设备和利用产生海量日记数据和各类类型的信息,这些海量数据可以被阐发、联系关系和过滤,从而鞭策与安然、合规和利用机能相干的各类决定计划。当然有良多可能的用处,但SIM解决方案必需专注,不然会被信息过载、机能标题问题“沉没”,变得一无可取。

从安然信息治理系统获得可把持的成果

  为SIM设定有限方针

  SIM的功能是在大年夜量安然事务中寻觅特定安然事务的“蛛丝马迹”。简单地说,SIM是在针堆里找针。这是一项艰巨的任务,但是,良多公司试牟利用SIM做太多工作,使“针堆”愈来愈大年夜,“找针”的工作也愈来愈坚苦。

  摆设SIM第一项也是最首要的部门是专注于一个方针或一组有限的方针。SIM是用来检测进侵?用来寻觅背规行动?仍是专注于内部或外部报复打击?对这么多可能的用处,企业很等闲掉往核心,并试图完成上述所有任务。你试图经由过程SIM解决的标题问题越多,SIM解决这些标题问题中的任何一个标题问题标效力就越低。

  你应当汇集哪些日记?假定你为SIM设定了特定的方针,你便可以很等闲肯定需要汇集的数据。例如,假定你决定存眷付出卡行业数据安然尺度(PCI-DSS)的合规性,那么,防火墙日记将是你必需汇集和阐发的首要数据。PCI是为数不多的规范性律例之一,是以,有良多关于日记汇集的具体指导。但其他律例并没有那么等闲:例如,HIPAA要求你呵护小我健康信息(PHI),但对此你应当汇集甚么日记呢?

  日记汇集的常见弊端是,安然专家在这个过程中过早地利用过滤。例如,在医疗机构,SIM被建设为仅汇集掉败登录测验测验的日记信息。其来由是,这类日记信息可能表白有人试图进侵系统。但是,当产生数据泄漏变乱时,该公司发现报复打击者已成功盗用了用户暗码。报复打击者并没有产生掉败登录日记信息,他们利用合法用户账户成功登录了系统。但这些成功登录信息并没有被汇集,负责阐发该泄漏变乱的安然专家将没法看到报复打击者做了甚么。

  这是一个艰巨的衡量:假定你不汇集一些具体的细节数据,当你在数据泄漏变乱后需要查看汗青数据时,你将没法看到这些数据。但假定你汇集所稀有据,你将接见会面对机能和存储增加标题问题。看似不首要的小细节多是变乱后需要的关头数据。

  在数据泄漏变乱后,SIM不但可用于对汗青数据进行取证阐发。良多企业还将SIM解决方案作为安然运营中间(SOC)及时局件响应的根本。及时局件响应和事务后汗青阐发的辨别很关头,因为这二者的方针常常不一致--假定说不是直接矛盾的话。针对及时阐发的SIM解决方案被调剂为高机能相干性和过滤,尽可能削减汇集的信息。但是,为了进步SIM用于变乱后汗青阐发的可把持性,你必需以完全相反的编制对它进行调剂,以最大年夜化汇集和存储的信息。

  可把持的成果是指可用于营业流程的成果。假定你的方针是合规性,那么,流程应当产生年度审计陈述。假定你的方针是数据泄漏检测,那么,这类成果应当可以或许承诺阐发师经由过程事务响应流程对安然警报进行查询拜访。假定你试图进步安然把持,那么,SIM成果应当撑持变动和建设治理流程。假定没有明白的方针和你想实现的流程,SIM没法产生可把持的成果。

  让SIM成为安然监管打算的一部门

  当你让SIM专注于单个方针,并成功地将它整合到你的尺度安然把持中,那么,你便可以开端逐步转移寄望力往解决其他营业挑战。这其实不料味着汇集更大都据,因为这只会让SIM速度变慢和掉往核心。相反地,这意味着寻觅新编制来从头利用SIM成果作为你的整体安然监管打算的一部门。

  良多公司正在逐步将其寄望力从合规转移到风险治理。风险治理意味着查看企业面对的风险,并按照对企业的风险优先放置安然节制和事务响应来治理风险。对SIM解决方案,这意味着联系关系安然事务信息和风险信息,例如:

  用户身份/角色:触及或影响哪些用户/角色

  系统风险:受影响系统是不是是关头营业系统

  利用风险:受影响利用是不是是营业关头利用

  为了将风险治理添加到SIM产品中,你不必然要汇集更多日记。在大年夜大都环境下,你可以向现有日记数据弥补关于利用、系统、用户和角色的风险/关头程度的信息。例如,良多SIM产品让安然阐发师可以按照关头程度将办事器分为不合级别,可利用数字分数(例如1至5分,此中1为最关头,5为最不关头)或标签(例如高级、中级或初级)。这些额外的属性给你的成果添加了另外一个视角,让安然专业人员可以优先营业关头安然事务,而推后非关头事务。这里关头的辨别在于,关头程度是营业属性,而不是安然属性。

  一样地,为了让SIM适应律例合规性,你不必然需要更多日记。在良多环境下,你必需联系关系现有SIM成果到特定审计陈述要求或法则。大年夜大都律例代表着行业需要摆设的最小安然节制。假定你的SIM被设计为撑持强大年夜的安然法度,你可能已汇集了合规所需的所有日记。

  一些企业可能想要摆设及时响应到安然事务。毫无疑问,这是所有公司的雄伟方针。及时响应要求近乎完美的手艺、流程和人员,这方面很少有公司是成功的。假定你试图实现这个大志勃勃的方针,请确保这是完美的成功的SIM摆设的最终方针,而不是第一个方针。为了让SIM合用于及时联系关系和阐发,你必需选出日记数据的一个子集来进行联系关系。对太多日记数据进行及时阐发会降落机能,而汇集太少日记则会让变乱后阐发没法实现,因为记实中会有良多空白。成功的摆设会将日记数据划分到持久回档中,这能包管尽可能周全的日记数据,和更少的日记数据用于联系关系和警报。

  成功的关头是渐进化:从有限的专注的方针开端,然后逐步增加功能,同时确保SIM系统不会被数据沉没。假定你将SIM解决方案作为遍及的把持过程的一部门,你会发现最亏弱的环节其实不是手艺,而是把持者。假定你为SIM设定了过于雄伟的方针,你会看到,这个系统被日记数据笼盖,并且,你的工作人员也会被日记成果沉没。面对产生太多成果和警报的SIM的把持人员,他们只有两个选择:遏制产生成果,这可能错过安然事务;或忽视警报。良多SIM摆设项目会呈现此中一种环境或两种环境,在一段时候后,SIM最终不克不及不被烧毁或打消。

  安然kaizen:SIM用于延续质量改进

  对待SIM的一个有趣编制是将它作为安然打算的反馈环节。所有政策、建设和安然设备最终会以安然事务的情势来表达本身。SIM是风险治理法度的很好的良性轮回机制,还可以用它来肯定政策是不是在合理运作。

  为了将SIM变成强大年夜的反馈机制,安然运营经理必需将其作为延续改进打算的一部门。SIM生成的每个事务都预示着企业安然的成功或掉败。当安然专业人员查看安然事务时,他们有可能超出这个事务,并发现政策、流程或节制存在的底子标题问题。在日本制造业,延续质量改进的过程被称为“kaizen”,对改良安然法度产生巨大年夜影响的概念。

  在查抄的第一级,安然事务可能突显出日记汇集过程中的漏掉或弊端。在审查事务时,安然阐发师会发现日记信息的关头部门没有被汇集。在良多环境下,企业对这类发现并没有顿时采纳步履,没有带来任何改变。而在延续改进过程中,安然阐发师将可以或许提交变动申请表以添加日记到汇集中。

  在审查安然事务的过程中,安然阐发师会发现一个较初期的首要事务但没有生成警报。这里,企业可以或许经由过程添加警报模式到SIM来改进过程。例如,阐发师会收到关于不得当数据库拜候模式的警报,如不服常的SQL查询。在查询拜访该事务时,阐发师发现不但这个具体查询不服常,并且它是来自不合IP地址和数据库用户,而不是既定的地址和用户。但SIM只针对这个希罕查询发出警报,而实际上,它可以针对希罕的连接来历和登录凭证发出警报。经由过程添加这个模式,阐发师可以或许确保在将来SIM会对这类事务发出警报,让安然团队更快响应。

  大年夜大都企业在营业流程和配套根本举措措施方面延续进行着改变。我们都知道,改变是安然的头号仇敌,因为改变会带来弊端,而弊端带来安然风险。SIM凡是是建设弊端起首呈现的位置,它们可能触发安然警报或只是不相干的看似子虚的日记信息。是以,安然人员应当紧密密切存眷SIM中与变动相干的事务,不但因为变动可能带来暗藏的安然泄漏,并且因为变动可能已粉碎了SIM的联系关系和过滤模式。例如,利用中的常规进级可能将日记信息从“登录掉败:未知用户”改成“掉败登录:无此用户”。对我们来讲,这两个动静没甚么辨别,但对SIM的字符串模式匹配引擎来讲,这二者完全不合。假定你在进级前收到警报,你将不会再收到警报。

  但是,在最根基的层面,SIM让你可以或许改良政策和流程,而不只是手艺。假定你汇集不合的日记、更改模式或引进新模式,你将会改进SIM。但假定你利用SIM来发现破坏或无效的过程,或误用的安然政策,你会进步企业的整体安然性,而不只是SIM。

  想要修复政策和流程,安然阐发师需要的不但仅是变动申请单。为了不断改进,你必需履行事务后审查,并对流程改进有着明白方针。你需要查看安然事务,包含从员工无意的简单政策背规行动到灾害性粉碎,以此审查你现有的政策和流程以寻求改进。

  安然信息治理东西是安然企业兵器库的首要构成部门。这些东西具有良多功能,乃至于良多公司都过于延长,试图快速做太多工作。其成果是,良多SIM摆设掉败--因为机能标题问题、把持员过度劳顿或破钞太多成本而没有成效。为了不这类成果,企业应当从小事做起,专注于单个方针,并慢慢扩大年夜范围,直到成功。

------分隔线----------------------------

推荐内容