如何解決遺留應用程序造成的SIEM可見性問題
安全信息和事件管理系統 (SIEM) 想要訪問遺留應用程序中的日志文件和其他數據通常比較困難。下面是一些能夠提高可見性的方法。
隨著公司越來越善于通過分析日志數據發現潛在的安全威脅,遺留應用程序會帶來難以覆蓋的盲區。數據安全公司Spirion的首席創新官Gabriel Gumbs表示:現代SIEM (Security Information and Event Management,安全信息和事件管理)已經超越了它們自己的傳統功能集,成為了先進的威脅檢測和響應平臺。
他表示遺留應用程序提供的日志數據并不總是能夠有效的遷移到這些平臺上。例如,遺留應用程序可能會報告誰有權訪問系統,但不會報告他們有權訪問這些系統中的哪些內容。這個可見性問題需要解決,他說道。
當必須監控遺留應用程序來發現威脅時,問題會更加嚴重。例如,這些應用程序被構建時的安全需求可能與我們今天的需求大不相同,或者它們是在廣泛使用最佳實踐前被構建的。
這些遺留應用程序還可能擁有已知的漏洞,需要過時和不安全的基礎設施,或訪問敏感數據或關鍵系統。“以能源行業為例”,總部位于英國的初創企業 Furnace Ignite(該公司使得從遺留應用程序中收集數據并將其提供給 SIEM 變得更加容易)首席網絡安全工程師 David Mound 表示,他們有SCADA基礎設施,這些東西已經存在很多年了。
避免不必要的驚喜
David Mound 表示公司有時不想接觸正在運行的應用程序。不僅僅是在能源領域。
| 一般來說,當我從事咨詢工作時,大多數公司似乎都有一些遺留的應用程序。薪酬之類的東西,多年來一直沒動過。 |
遺留應用程序常常不能提供公司所需的監控。例如,它們可能會生成性能數據,但不能詳細說明哪些用戶訪問了哪些數據,或者缺少了安全研究人員賴以發現事件的環境。如果它們生成了日志,這些日志可能也是以某種專有的、難以使用的格式存儲的。
網絡安全公司 Trustwave 負責威脅情報和檢測的全球主管 Jeremy Batterman 表示:特別是內部開發的遺留應用程序,將會存在明顯的可見性問題。
他說當有網絡安全事件發生并需要進行調查時,這是一個大問題。他說:在我處理過的事件響應案例中,往往是一次性的應用程序導致了問題。
此外,缺少日志記錄可能會加劇遺留應用程序的其他安全問題。例如,在一個案例中,一個公司有一個既連接到互聯網又連接到其內部網絡的遺留應用程序,而沒有把它放在 DMZ 中。
| 他們也沒有意識到,他們使用的是舊版本的 JBoss 和 Apache,這對于攻擊者來說是輕而易舉的。一旦它被入侵,因為沒有可見性,攻擊者很容易就能在網絡上移動。 |
在調查事故期間,Batterman 表示他經常問公司,他們為什么要保留這個遺留應用程序。“通常和錢有關”,他說道。“更常見的情況是,這種方法適用于他們,所以為什么要改變它呢?”埃森哲 (Accenture) 對聯邦 IT 主管的一項調查顯示,37% 的人表示遺留應用程序對他們抵御網絡威脅是一個阻礙,85% 的人表示除非他們更新技術,否則他們所在組織機構在未來將受到威脅。
網絡安全咨詢公司 BTB Security 的管理合伙人 Ron Schlecht 表示,為了發現環境中有多少遺留應用程序,企業應該把它們作為威脅和漏洞評估的一部分。他說有時候企業很清楚自己的遺留應用程序不安全,因為他們在試圖擺脫它們。
遺留應用程序有時會被忽略。在大多數情況下,這些應用程序很少會被使用,或者僅被較小的部門使用,因為沒有任何問題,人們會繼續使用它們。
有時候應用程序已經被替換了,但是遺留版本仍然在運行,這往往讓人驚訝。有時候,他們只是忘了關掉它。有時候,他們仍然希望能夠在應用程序中訪問舊的歷史數據。
Schlect 表示無論是哪個原因,這些應用程序和服務器都處于閑置狀態。任何時候只要環境中有這些存在,就有可能會有人濫用它們。如果應用程序正在以管理員權限運行,或者具有可用于升級訪問權限的功能,則尤其危險。如果應用程序在舊服務器上,那么其環境中也可能存在漏洞。
現代化遺留應用程序
Schlecht 表示,第一步是確定原始供應商是否能夠幫忙將日志數據從遺留系統遷移到 SIEM。也許供應商可以提供一個 API 或者至少一些文檔。如果沒有,可以通過定制開發工作來嘗試從應用程序中獲取日志。
另一個策略是使整個應用程序現代化,而不僅僅是日志功能。這樣不僅滿足了公司的網絡安全需求,還能夠滿足合規、可擴展性和其他業務需求。根據 Gartner的一份報告,到 2020 年,在數字商業創新上每投入一美元,就至少有其三倍的資金花在了傳統應用程序的現代化上。這筆投資是值得的。除了安全風險之外,遺留應用程序可能無法滿足當今的業務需求,無法跟上技術變革的步伐,難以進行擴展,可能會產生合規風險,而且維護成本過高。
根據 Gartner 的另一份報告,實現遺留應用程序現代化的主要方法有七種:
- 將其封裝,并作為服務提供。
- 重新托管。
- 將其移動到一個新的運行平臺。
- 重構代碼。
- 重新架構應用程序。
- 完全重建或進行重寫。
- 替換應用程序,考慮到新的要求和需求。
過度策略
當無法對傳統應用程序進行現代化或替換時,企業可以采用一些過度策略來解決一些可見性問題。例如,如果一個應用程序有一個后端數據庫,那么人們就有可能從數據庫本身獲取訪問和使用信息,Trustwave 的 Batterman 說道,如果有流量進出應用程序,網絡傳感器可以用來捕獲數據包。
Batterman 表示無論采用哪種過度策略,企業也應該為其遺留應用程序進行特別保護。
| 也許我們可以建立一個更封閉的系統,或者只提供一小部分服務。他們可以做一些架構調整,防止它們出現在前線。 |
例如,BTB 的 Schlecht 表示,很多企業面臨著不得不維護一個舊的、不安全的應用程序的問題,他們會將其沙箱化,并將其放到虛擬環境或云環境中。這樣,如果它受到攻擊,對組織機構其他部分的影響將會是最小的。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
