Verizon Business公司風險小組發布的《2010年數據洩漏調查報告》現已出爐,裡面含有大量的寶貴信息。這年的報告包含了美國特勤局開展的調查內容,顯著擴大了數據洩漏的範圍。調查人員分析了這些數據洩漏,以查找根源。這份報告之所以那麼重要,原因在於它讓我們有機會了解其他企業在哪些環節沒有保護好數據和系統,那樣我們就能從別人的不幸經歷中汲取教訓。
Verizon Business公司風險小組發布的《2010年數據洩漏調查報告》現已出爐,裡面含有大量的寶貴信息。這年的報告包含了美國特勤局開展的調查內容,顯著擴大了數據洩漏的範圍。調查人員分析了這些數據洩漏,以查找根源。這份報告之所以那麼重要,原因在於它讓我們有機會了解其他企業在哪些環節沒有保護好數據和系統,那樣我們就能從別人的不幸經歷中汲取教訓。
報告中總是有一些令人驚訝的統計數字和細節內容。比如說,2010年報告聲稱"我們一再發現,雖然日誌十有八九可供企業使用,但通過分析日誌來發現數據洩漏的仍然不足5%。"
這是否意味著不值得企業花力氣收集日誌數據?根本不是這樣。但這份報告認為,戰略可能需要有所改變;現在恐怕是時候尋找大草堆了,而不是一味尋找大草堆裡面的細針。該報告表明,有三大徵兆(即大草堆)可能表明存在洩漏:
◆日誌數據增加異常
◆日誌裡面的行長得異常
◆沒有日誌數據(或日誌數據減少異常)
調查人員撰文:"我們發現數據洩漏後,日誌條目增多了500%。攻擊者關掉日誌功能後,我們發現好幾個月日誌完全消失了。我們注意到,SQL注入攻擊及其他攻擊使得日誌裡面的行要比正常活動長得多。這些與其說是細針,還不如說是大草堆。"此外,"僅僅尋找大草堆會是一種非常大的改進。"
安全信息事件管理(SIEM)系統等工具既可以幫你找到大草堆,還能幫你找到細針,那樣不但加大了檢測數據洩漏或違反政策的其他行為的可能性,甚至加大了緩解這些安全威脅的可能性。LogLogic公司的全球營銷執行副總裁Bill Roth給出了幾點建議,介紹了部署SIEM的若干最佳實踐:
了解你的數據以及你希望它用來做什麼。
你在部署SIEM系統之前,一定要了解日誌數據的大小、頻率和行為。這意味著,你要知道數據來自哪裡(比如來自系統、路由器或交換機),數據又是如何提供的。你還應該確定實施SIEM系統的具體目標。你實施的SIEM主要用來支持企業日常運營?還是用於加強安全,將日誌作為審計跟踪記錄來保留?還是說用於滿足具體的法規法令?了解你希望SIEM系統為貴企業做什麼,可以幫助你確定需要遵守的政策和程序,並且確定日誌數據保留多久。
將一切設備記入日誌。
明確範圍,弄清楚要把哪些設備記入日誌(如係統日誌、系統、路由器和防火牆)。祝上述的使用場合而定,你可能要重點關註一組特定的設備。別忘了:可以記入日誌的對象絕不僅限於網絡設備。比如說,你還可以通過物理登錄來收集信息,比如通過安全機制進入大樓的情況。另外,在法規遵從方面,支付卡行業數據安全標準(PCI-DSS)要求你把參與支付卡交易的所有設備都記入日誌。企業常常把這個網絡隔離開來,每年僅僅保留那些設備的審計跟踪記錄。為了安全起見,你要把一切設備記入日誌,確保你的整個網絡和整個企業都受到了保護。
要不要關聯?
明確要管理哪幾層日誌將有助於確定哪些使用場合下需要關聯。企業往往至少把專門針對安全的設備關聯起來,比如入侵檢測系統/入侵防護系統(IDS/IPS)設備、防火牆和域控制器,那樣才能採取積極主動的安全方法。不過,一些企業利用關聯機制是為了確保運營順暢,比如利用特定的數據庫錯誤消息來確定操作系統錯誤消息,並把該消息與多個平台上的軟件錯誤消息聯繫起來。兩者都是很典型的使用場合。
不要"設定好後就不管"。
如果你設定好了部署的SIEM系統,但以後不去管它,還不如當初不要部署。你一定要針對日誌管理層和關聯層設定好角色和政策。還要對它們逐步進行調整,以便它們能很好地協同運行,以減少誤報率。一定要為應當審閱SIEM解決方案生成的報告的那些人明確職責,並且落實政策,確保新設備在投入使用後添加到整個系統中。
報告是關鍵。
應該從符合你要求的具體報告開始入手,而不是一下子獲取一大堆報告。通過收集一系列特定的數據,你就能調整數據,並加以優化。換句話說,一開始就要想著目的。能夠回答"我其實需要知道什麼?"之類的問題,而且在製作最終報告時要想著那個目的。你在製作報告時,要確保考慮到了各利益相關者(比如你的老闆)。牢記這一點:你不但要尋找細針,還要尋找大草堆。
為部署SIEM解決方案製定好一項可靠的方案,有望幫助貴企業遵從法規,並且讓貴企業的IT運營確保擁有良好的安全狀況。
沒有留言:
張貼留言