SIEM不能一勞永逸 需要定期 “大掃除”
作者:星期三, 六月 5, 20190

設置好了就放一邊任其靜置積灰不是SIEM的正確打開方式。是時候來一次大掃除了。

信息安全及事件管理(SIEM)系統想要見成效,公司企業在購入產品后還需經過一系列的設置與調整。一旦設置完畢,SIEM可快速成為工程師工具箱中的寶貴工具,用以識別風險、趨勢、惡意行為,甚至能發現簡單的配置錯誤。但有多少公司企業將SIEM視為靜態解決方案,設置好了就不再調整?

一勞永逸的理想很美好,但現實很骨感:我們所處的環境總在發展變化——數據類型、終端、子網、合規要求、技術與業務風險,還有最初設置SIEM時參考的其他變量,都是動態的。當然,大企業通常都有專門維護SIEM的團隊留意這些變化并適時作出調整。中小企業卻往往陷入日常工作而無暇顧及這些變化。畢竟,網絡安全人才短缺已經是眾所周知的事實,而且毫無改善的跡象。隨著時間發展,如果環境的變化一直被忽視,警報也會變得走樣和不全面,最終導致惡名在外的警報疲勞現象。

中小企業可以考慮將SIEM更新視為除夕大掃除一樣的活動,專門拿出一到兩天時間復核所有的警報、規則、變量及其他SIEM準則,確定哪些依然重要而哪些已無關緊要,敲定哪些已經改變,并考慮下列事項:

1. 有哪些SIEM應用更新是已發布但沒應用的?希望沒有這種情況出現,但可以借此機會確認并修復系統,使系統處于最新、最穩定的版本。

2. 網絡運維團隊有沒有在應監視流量的地方設置新的子網或設備,比如隔離區(DMZ)環境?

3. 系統團隊有沒有部署應監視日志記錄的新服務器?

4. 終端有沒有開始應用應受監視的任何新軟件(操作系統或生產應用程序)?

5. 有沒有任何應用或服務遷移到新的服務器或子網中?

6. 有沒有引入任何新的特殊訪問權限(比如供應商和承包商)?

7. 有沒有新用戶被提權?

8. 如果公司使用文件完整性監測和用戶及實體行為分析,所有需要的節點上都配置了嗎?監視的是正確的指標嗎?

在推進到下一步之前,請考慮一個常被忽視掉的問題:公司針對上述事項的風險胃納有沒有發生改變?一年前被認定為低風險的事項,可能現在就是高風險的。一年前的高風險事項也有可能現在已無關緊要。充分了解業務重點有助于弄清哪些是關鍵的,而哪些不是——需謹記:安全人員眼中的關鍵未必是業務關鍵因素。

為了全面徹底,不妨將年度復核視為既定設置。別因為記得曾經設置過就假設規則或警報的配置依然有效,也別覺得沒什么東西需要改變。這種想法就跟因為沒什么東西 “應該會” 在沙發下面而不去搬開沙發清掃是一樣的,搬開的結果往往打臉——沙發下面 “橫尸” 的物品之多可能會超出你的想象。

就像每年除夕都要大掃除一樣,抖抖布滿灰塵的東西,深入查看陰暗的角落,總能做出可以讓生活變得更美好的改變。如果可以的話,把你的SIEM供應商也拉進來,大多數供應商都會與你的賬戶經理進行定期審查,指出過去一段時間里的得失,闡明可以改善的方面,提出已知的有用建議或案例參考。

該過程不應被當作新購置安全解決方案的評估,而應被視為確保當前接收的安全信息及時、準確、重要的機會。SIEM年度大掃除將許你一個清爽潔凈的環境和整套煥然一新的SIEM系統。

相關閱讀

12款頂級SIEM工具比較與評級

和傳統SIEM說再見的10個理由

SIEM是什么?它是怎么運作的?又該如何選擇正確的工具?

 


相關文章

寫一條評論

 

 

0條評論