很多 企業 在使用先進的日誌管理和安全事件管理(SIEM)系統來滿足嚴格的安全合規標準(例如PCI DSS),現在可能是有遠見的企業考慮將監測層推廣到應用程序層的最佳時機。 部署了這些SIEM和日誌管理系統,企業現在擁有了足夠的系統來處理來自不同應用程序的數據,並將這些數據轉換成對安全團隊有意義的信息。
“PCI推動了日誌管理領域的良好發展,這說明後端技術部署良好,”分析師Gunnar Peterson表示,“缺少的是前端技術,在前端實際上是傳感器在收集事件信息。”
辦法就在於找到合適的技術來充當傳感器的角色,將數據傳到SIEM系統,並開發一套完善的執行方法。
Peterson表示,諸如web應用 防火牆 和XML安全 網關 等技術應該在應用程序層活動方面發揮更重要的作用,這些應用程序層的活動一直是很多企業難以跟踪的部分。 “這些技術可以發揮非常重要的作用,因為他們位於應用程序外部,所以安全團隊不需要過多地參與應用程序創建過程,”他表示,“但同時能夠提供一些在信息數據級別有用的信息。”
至於最佳做法,Peterson表示不同行業有不同最佳做法。 下面我們總結了六個訣竅來幫助企業進行更有效的應用程序監控。
1. 調整數據流
企業在監控應用程序方面面臨的最大問題之一就是挑戰來自前端的數據流,使之既實用又易於管理。
“從監控的角度來看,我認為他們通常要么監控過多要么過少,”他表示,“這就像一門藝術,一種主觀判斷,每個人都會範錯誤,並且通常陷入過多或過少的泥沼中。訣竅在於盡可能地接近適中位置。”
2.不要依賴於端口號碼
你不能指望端口號碼來識別應用程序。 諸如BitTorrent和 Skype 等應用程序可以隱藏在HTTP流量中,專門來躲避安全控制,“只是將端口88的流量歸類為HTTP的監控解決 方案 可能會讓企業受到 互聯網 感染內容的攻擊,特別是對於存在嵌入式惡意軟件的盜版軟件和媒體文件。”
3.利用將前端連接到後端的標準
“我認為在前端有很多工具和技術你可以用來收集數據,而在後端則有工具可以用來發布數據,”Peterson表示,“但是最難解決的問題是兩者之間的問題。”
Peterson says that organizations need to leverage standards such as CEE, which is being pushed by Peterson表示,企業需要利用一些標準,例如CEE(Mitre和ArcSight推動的標準)或者XDAS(OpenGroup支持的標準)來幫助前端監控解決方案與後端日誌管理系統進行“交談”,使你能夠對數據進行調整讓它傳到事件反應小組的手中。
4. 區分內容和應用程序
長期以來, 社交網站 都混淆內容和應用程序。 很多網站(如 Facebook )承載了成千上萬的應用程序,而很多應用程序都對隱私和數據帶來風險,並且讓企業面臨合規或者法律問題。
“為了解決這種威脅,應用程序監控解決方案需要能夠識別和控製作為社交網站一部分的內容和應用程序。”
5.詢問事件響應小組他們需要什麼
談到事件響應小組,如果他們主要是依賴於這些系統來完成工作的話,讓他們參與這些工具的不糊是不是沒有意義? 很多企業都沒有真正詢問事件響應小組他們需要從這些系統中獲取哪些數據來確定風險,而且這種需求通常都需要改變。
“開發人員和安全架構師需要與這些事件響應小組花更多時間來討論他們所需要的數據類型,把他們當作業務用戶,因為事實上他們確實是你的業務用戶,”他表示,“他們應該會問,'對於這些類型的事件,哪些數據能夠幫助你完成你的工作?'”
6.使用實時web安全來補充應用程序監測
基於web的惡意軟件變化太快,提供每日或者每週更新的傳統防禦措施很難更上其變化的不發。 有了對新內容(包括惡意軟件)的實時評級,web安全解決方案可以幫助提供對web流量更詳細的信息。
沒有留言:
張貼留言