安全信息管理(SIM)是用于從日志文件和其他來(lái)源收集安全信息以檢測(cè)和響應(yīng)安全事件的技術(shù)，SIM的應(yīng)用正變得越來(lái)越廣泛。現(xiàn)在的服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用產(chǎn)生海量日志數(shù)據(jù)和各種類型的信息，這些海量數(shù)據(jù)可以被分析、關(guān)聯(lián)和過濾，從而推動(dòng)與安全、合規(guī)和應(yīng)用性能相關(guān)的各種決策。雖然有很多可能的用途，但SIM解決方案必須專注，否則會(huì)被信息過載、性能問題“淹沒”，變得一無(wú)是處。

[[109146]]

為SIM設(shè)定有限目標(biāo)

SIM的功能是在大量安全事件中尋找特定安全事件的“蛛絲馬跡”。簡(jiǎn)單地說(shuō)，SIM是在針堆里找針。這是一項(xiàng)艱巨的任務(wù)，然而，很多公司試圖使用SIM做太多工作，使“針堆”越來(lái)越大，“找針”的工作也越來(lái)越困難。

部署SIM第一項(xiàng)也是最重要的部分是專注于一個(gè)目標(biāo)或者一組有限的目標(biāo)。SIM是用來(lái)檢測(cè)入侵?用來(lái)尋找違規(guī)行為?還是專注于內(nèi)部或外部攻擊?對(duì)于這么多可能的用途，企業(yè)很容易失去焦點(diǎn)，并試圖完成上述所有任務(wù)。你試圖通過SIM解決的問題越多，SIM解決這些問題中的任何一個(gè)問題的效率就越低。

你應(yīng)該收集哪些日志?如果你為SIM設(shè)定了特定的目標(biāo)，你就可以很容易確定需要收集的數(shù)據(jù)。例如，如果你決定關(guān)注支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)的合規(guī)性，那么，防火墻日志將是你必須收集和分析的首要數(shù)據(jù)。PCI是為數(shù)不多的規(guī)范性法規(guī)之一，因此，有很多關(guān)于日志收集的具體指導(dǎo)。但其他法規(guī)并沒有那么容易：例如，HIPAA要求你保護(hù)個(gè)人健康信息(PHI)，但對(duì)此你應(yīng)該收集什么日志呢?

日志收集的常見錯(cuò)誤是，安全專家在這個(gè)過程中過早地使用過濾。例如，在醫(yī)療機(jī)構(gòu)，SIM被配置為僅收集失敗登錄嘗試的日志信息。其理由是，這種日志信息可能表明有人試圖入侵系統(tǒng)。然而，當(dāng)發(fā)生數(shù)據(jù)泄露事故時(shí)，該公司發(fā)現(xiàn)攻擊者已經(jīng)成功盜用了用戶密碼。攻擊者并沒有產(chǎn)生失敗登錄日志信息，他們使用合法用戶賬戶成功登錄了系統(tǒng)。但這些成功登錄信息并沒有被收集，負(fù)責(zé)分析該泄露事故的安全專家將無(wú)法看到攻擊者做了什么。

這是一個(gè)艱難的權(quán)衡：如果你不收集一些具體的細(xì)節(jié)數(shù)據(jù)，當(dāng)你在數(shù)據(jù)泄漏事故后需要查看歷史數(shù)據(jù)時(shí)，你將無(wú)法看到這些數(shù)據(jù)。但如果你收集所有數(shù)據(jù)，你將會(huì)面臨性能和存儲(chǔ)增長(zhǎng)問題。看似不重要的小細(xì)節(jié)可能是事故后需要的關(guān)鍵數(shù)據(jù)。

在數(shù)據(jù)泄露事故后，SIM不僅可用于對(duì)歷史數(shù)據(jù)進(jìn)行取證分析。很多企業(yè)還將SIM解決方案作為安全運(yùn)營(yíng)中心(SOC)實(shí)時(shí)事件響應(yīng)的基礎(chǔ)。實(shí)時(shí)事件響應(yīng)和事件后歷史分析的區(qū)別很關(guān)鍵，因?yàn)檫@兩者的目標(biāo)往往不一致--如果說(shuō)不是直接矛盾的話。針對(duì)實(shí)時(shí)分析的SIM解決方案被調(diào)整為高性能相關(guān)性和過濾，盡量減少收集的信息。然而，為了提高SIM用于事故后歷史分析的可操作性，你必須以完全相反的方式對(duì)它進(jìn)行調(diào)整，以最大化收集和存儲(chǔ)的信息。

可操作的結(jié)果是指可用于業(yè)務(wù)流程的結(jié)果。如果你的目標(biāo)是合規(guī)性，那么，流程應(yīng)該產(chǎn)生年度審計(jì)報(bào)告。如果你的目標(biāo)是數(shù)據(jù)泄露檢測(cè)，那么，這種結(jié)果應(yīng)該能夠允許分析師通過事件響應(yīng)流程對(duì)安全警報(bào)進(jìn)行調(diào)查。如果你試圖提高安全操作，那么，SIM結(jié)果應(yīng)該支持變更和配置管理流程。如果沒有明確的目標(biāo)以及你想實(shí)現(xiàn)的流程，SIM無(wú)法產(chǎn)生可操作的結(jié)果。#p#

讓SIM成為安全監(jiān)管計(jì)劃的一部分

當(dāng)你讓SIM專注于單個(gè)目標(biāo)，并成功地將它整合到你的標(biāo)準(zhǔn)安全操作中，那么，你就可以開始逐漸轉(zhuǎn)移注意力去解決其他業(yè)務(wù)挑戰(zhàn)。這并不意味著收集更多數(shù)據(jù)，因?yàn)檫@只會(huì)讓SIM速度變慢和失去焦點(diǎn)。相反地，這意味著尋找新方法來(lái)重新使用SIM結(jié)果作為你的整體安全監(jiān)管計(jì)劃的一部分。

很多公司正在逐漸將其注意力從合規(guī)轉(zhuǎn)移到風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)管理意味著查看企業(yè)面臨的風(fēng)險(xiǎn)，并根據(jù)對(duì)企業(yè)的風(fēng)險(xiǎn)優(yōu)先安排安全控制和事件響應(yīng)來(lái)管理風(fēng)險(xiǎn)。對(duì)于SIM解決方案，這意味著關(guān)聯(lián)安全事件信息和風(fēng)險(xiǎn)信息，例如：

用戶身份/角色：涉及或影響哪些用戶/角色

系統(tǒng)風(fēng)險(xiǎn)：受影響系統(tǒng)是否是關(guān)鍵業(yè)務(wù)系統(tǒng)

應(yīng)用風(fēng)險(xiǎn)：受影響應(yīng)用是否是業(yè)務(wù)關(guān)鍵應(yīng)用

為了將風(fēng)險(xiǎn)管理添加到SIM產(chǎn)品中，你不一定要收集更多日志。在大多數(shù)情況下，你可以向現(xiàn)有日志數(shù)據(jù)補(bǔ)充關(guān)于應(yīng)用、系統(tǒng)、用戶和角色的風(fēng)險(xiǎn)/關(guān)鍵程度的信息。例如，很多SIM產(chǎn)品讓安全分析師可以根據(jù)關(guān)鍵程度將服務(wù)器分為不同級(jí)別，可使用數(shù)字分?jǐn)?shù)(例如1至5分，其中1為最關(guān)鍵，5為最不關(guān)鍵)或標(biāo)簽(例如高級(jí)、中級(jí)或低級(jí))。這些額外的屬性給你的結(jié)果添加了另一個(gè)視角，讓安全專業(yè)人員可以優(yōu)先業(yè)務(wù)關(guān)鍵安全事件，而推后非關(guān)鍵事件。這里關(guān)鍵的區(qū)別在于，關(guān)鍵程度是業(yè)務(wù)屬性，而不是安全屬性。

同樣地，為了讓SIM適應(yīng)法規(guī)合規(guī)性，你不一定需要更多日志。在很多情況下，你必須關(guān)聯(lián)現(xiàn)有SIM結(jié)果到特定審計(jì)報(bào)告要求或規(guī)則。大多數(shù)法規(guī)代表著行業(yè)需要部署的最小安全控制。如果你的SIM被設(shè)計(jì)為支持強(qiáng)大的安全程序，你可能已經(jīng)收集了合規(guī)所需的所有日志。

一些企業(yè)可能想要部署實(shí)時(shí)響應(yīng)到安全事件。毫無(wú)疑問，這是所有公司的宏偉目標(biāo)。實(shí)時(shí)響應(yīng)要求近乎完美的技術(shù)、流程和人員，這方面很少有公司是成功的。如果你試圖實(shí)現(xiàn)這個(gè)雄心勃勃的目標(biāo)，請(qǐng)確保這是完善的成功的SIM部署的最終目標(biāo)，而不是第一個(gè)目標(biāo)。為了讓SIM適用于實(shí)時(shí)關(guān)聯(lián)和分析，你必須選出日志數(shù)據(jù)的一個(gè)子集來(lái)進(jìn)行關(guān)聯(lián)。對(duì)太多日志數(shù)據(jù)進(jìn)行實(shí)時(shí)分析會(huì)降低性能，而收集太少日志則會(huì)讓事故后分析無(wú)法實(shí)現(xiàn)，因?yàn)橛涗浿袝?huì)有很多空白。成功的部署會(huì)將日志數(shù)據(jù)劃分到長(zhǎng)期歸檔中，這能保證盡可能全面的日志數(shù)據(jù)，以及更少的日志數(shù)據(jù)用于關(guān)聯(lián)和警報(bào)。

成功的關(guān)鍵是漸進(jìn)化：從有限的專注的目標(biāo)開始，然后逐漸增加功能，同時(shí)確保SIM系統(tǒng)不會(huì)被數(shù)據(jù)淹沒。如果你將SIM解決方案作為廣泛的操作過程的一部分，你會(huì)發(fā)現(xiàn)最薄弱的環(huán)節(jié)并不是技術(shù)，而是操作者。如果你為SIM設(shè)定了過于宏偉的目標(biāo)，你會(huì)看到，這個(gè)系統(tǒng)被日志數(shù)據(jù)覆蓋，并且，你的工作人員也會(huì)被日志結(jié)果淹沒。面對(duì)產(chǎn)生太多結(jié)果和警報(bào)的SIM的操作人員，他們只有兩個(gè)選擇：停止產(chǎn)生結(jié)果，這可能錯(cuò)過安全事件;或者忽略警報(bào)。很多SIM部署項(xiàng)目會(huì)出現(xiàn)其中一種情況或兩種情況，在一段時(shí)間后，SIM最終不得不被廢棄或取消。#p#

安全kaizen：SIM用于持續(xù)質(zhì)量改進(jìn)

看待SIM的一個(gè)有趣方式是將它作為安全計(jì)劃的反饋環(huán)節(jié)。所有政策、配置和安全設(shè)備最終會(huì)以安全事件的形式來(lái)表達(dá)自己。SIM是風(fēng)險(xiǎn)管理程序的很好的良性循環(huán)機(jī)制，還可以用它來(lái)確定政策是否在合理運(yùn)作。

為了將SIM變?yōu)閺?qiáng)大的反饋機(jī)制，安全運(yùn)營(yíng)經(jīng)理必須將其作為持續(xù)改進(jìn)計(jì)劃的一部分。SIM生成的每個(gè)事件都預(yù)示著企業(yè)安全的成功或失敗。當(dāng)安全專業(yè)人員查看安全事件時(shí)，他們有可能越過這個(gè)事件，并發(fā)現(xiàn)政策、流程或控制存在的根本問題。在日本制造業(yè)，持續(xù)質(zhì)量改進(jìn)的過程被稱為“kaizen”，對(duì)改善安全程序產(chǎn)生巨大影響的概念。

在檢查的第一級(jí)，安全事件可能突顯出日志收集過程中的遺漏或錯(cuò)誤。在審查事件時(shí)，安全分析師會(huì)發(fā)現(xiàn)日志信息的關(guān)鍵部分沒有被收集。在很多情況下，企業(yè)對(duì)這種發(fā)現(xiàn)并沒有馬上采取行動(dòng)，沒有帶來(lái)任何變化。而在持續(xù)改進(jìn)過程中，安全分析師將能夠提交變更申請(qǐng)表以添加日志到收集中。

在審查安全事件的過程中，安全分析師會(huì)發(fā)現(xiàn)一個(gè)較早期的重要事件但沒有生成警報(bào)。這里，企業(yè)能夠通過添加警報(bào)模式到SIM來(lái)改進(jìn)過程。例如，分析師會(huì)收到關(guān)于不恰當(dāng)數(shù)據(jù)庫(kù)訪問模式的警報(bào)，如不尋常的SQL查詢。在調(diào)查該事件時(shí)，分析師發(fā)現(xiàn)不僅這個(gè)具體查詢不尋常，而且它是來(lái)自不同IP地址和數(shù)據(jù)庫(kù)用戶，而不是既定的地址和用戶。但SIM只針對(duì)這個(gè)奇怪查詢發(fā)出警報(bào)，而實(shí)際上，它可以針對(duì)奇怪的連接來(lái)源和登錄憑證發(fā)出警報(bào)。通過添加這個(gè)模式，分析師能夠確保在未來(lái)SIM會(huì)對(duì)這種事件發(fā)出警報(bào)，讓安全團(tuán)隊(duì)更快響應(yīng)。

大多數(shù)企業(yè)在業(yè)務(wù)流程和配套基礎(chǔ)設(shè)施方面持續(xù)進(jìn)行著變革。我們都知道，變化是安全的頭號(hào)敵人，因?yàn)樽兓瘯?huì)帶來(lái)錯(cuò)誤，而錯(cuò)誤帶來(lái)安全風(fēng)險(xiǎn)。SIM通常是配置錯(cuò)誤首先出現(xiàn)的位置，它們可能觸發(fā)安全警報(bào)或者只是不相關(guān)的看似虛假的日志信息。因此，安全人員應(yīng)該密切關(guān)注SIM中與變更相關(guān)的事件，不僅因?yàn)樽兏赡軒?lái)潛在的安全泄露，而且因?yàn)樽兏赡芤呀?jīng)破壞了SIM的關(guān)聯(lián)和過濾模式。例如，應(yīng)用中的常規(guī)升級(jí)可能將日志信息從“登錄失敗：未知用戶”改為“失敗登錄：無(wú)此用戶”。對(duì)于我們來(lái)說(shuō)，這兩個(gè)消息沒什么區(qū)別，但對(duì)于SIM的字符串模式匹配引擎來(lái)說(shuō)，這兩者完全不同。如果你在升級(jí)前收到警報(bào)，你將不會(huì)再收到警報(bào)。

然而，在最基本的層面，SIM讓你能夠改善政策和流程，而不只是技術(shù)。如果你收集不同的日志、更改模式或者引入新模式，你將會(huì)改進(jìn)SIM。但如果你使用SIM來(lái)發(fā)現(xiàn)損壞或無(wú)效的過程，或誤用的安全政策，你會(huì)提高企業(yè)的整體安全性，而不只是SIM。

想要修復(fù)政策和流程，安全分析師需要的不僅僅是變更申請(qǐng)單。為了不斷改進(jìn)，你必須執(zhí)行事件后審查，并對(duì)流程改進(jìn)有著明確目標(biāo)。你需要查看安全事件，包括從員工無(wú)意的簡(jiǎn)單政策違規(guī)行為到災(zāi)難性破壞，以此審查你現(xiàn)有的政策和流程以尋求改進(jìn)。

安全信息管理工具是安全企業(yè)武器庫(kù)的重要組成部分。這些工具具有很多功能，以至于很多公司都過于延伸，試圖快速做太多事情。其結(jié)果是，很多SIM部署失敗--因?yàn)樾阅軉栴}、操作員過度勞累或者花費(fèi)太多成本而沒有成效。為了避免這種結(jié)果，企業(yè)應(yīng)該從小事做起，專注于單個(gè)目標(biāo)，并逐步擴(kuò)大范圍，直到成功。