你的应用程序代码已经经过了审查和漏洞扫描,同时,在线的应用程序都是经过渗透测试并放置在防火墙后端的。纵深防御策略意味着你的网络上也会有各种安全控制措施,从而加强全面保护。
随着时间的推移,网络在不断扩大,它需要更多的保护措施,因此随着技术的出现或改善,你已经添加了新的安全措施。但你如何监控你的应用程序环境,以确保它仍然是兼容的?
在运行多个对策过程中很容易出现的一个问题是,每个安全产品通常会产生一套它自己独特的日志和警报。这样一来,就会产生巨大的数据量,然后往往会造成数据噪声和误报。从应用程序安全合规性的角度来看,这使得事件调查,证据收集和进行分析成为非常耗时的工作,特别是为了建立一个完整的图像,日志必须被交叉引用。但是,为了提供审计跟踪和监控访问控制,收集和分析这些数据是必不可少的,并最终要确保所有任务都合规。
安全信息和事件管理系统(SIMs或SIEMs)减轻了海量日志数据这一问题。它们集中汇总安全事件和日志,关联分析整个基础设施所部署的网络和安全设备的信息,因此会产生具有更有效和更全面报告的警报。
但SIMs并不完美,而且它的采购、实施和管理费用很高,可选择的一个耗时的替代方案是,手动分析个别的日志集。手工整理这些记录去重建一个定时事件是很困难的,但一个错误的正面总比一个错误的负面更可取。也就是说,即使只获得一组有效的警告和报告,它也使得调查和修复问题变更容易了。当试图匹配来自不同设备的各种报告时,报告更易于产生和展现关于系统安全更为统一的看法。拥有对网络流量更全面、更彻底的查看,你就可以微调入侵检测签名(IDS signatures)和防火墙规则集来提高它们的执行政策的能力。这种全面彻底的查看也可以显示出,员工在哪些方面还需要进一步的安全意识培训,例如,是否有人继续试图访问或下载已阻止的网站或内容,或发送分类加密信息。
另外一个方法是,将各种网络安全单点产品整合到一个设备中,让所有日志都在一个地方。Web安全网关就是一个很好的例子,它将单点产品整合到一个盒子里,这意味着所有的流量渠道,包括入站和出站,都经过这一个设备。这使得更加容易登录、监控和协调所有端口和协议的内容政策。每个保护产品还共享了一个共同的威胁数据库和策略管理框架,判断流量是否是潜在恶意的,从而作出更多明智的决定,减少错误或错过警报的数量,让分析和报告更加全面。
无论你采用了哪种日志收集和分析的方法,定期进行频繁的自我评估审计,将确保发现安全控制过程中的任何缺陷和应用程序使用中的任何不合规。如果问题是在审计过程中被发现的,那么应该制定纠正措施计划。理想情况下,审计应评估范围内的每一个强制措施的遵守情况。如果这样不太现实的话,那么就集中在高风险领域或样本关键的安全控制上。
今后的审计工作应包括尚未采样或先前被确定为弱,以及在硬件、软件、政策或程序上已改变的部分,以确保任何变化对安全都没有不利影响。自我评估的真正好处在于,就如何改善安全控制所实施的整改措施和提出的建议。通过在一份正式报告中记录审计结果,其中包括采取的不合格措施和纠正措施,这样你就拥有了关于系统安全状态的文件证据。
如果密切监测所有的应用程序是不可行的,那就集中在那些关键的、有价值的或敏感的信息上,以及之前被泄漏或误用的信息,当然还有那些连接到第三方或互联网的系统。(如果你没有一个应用程序列表,那么这将是一个好的开始。)应用程序日志管理和系统监控为我们提供了信息,关于网络上发生了什么以及什么正在发生。没有这些信息的话,你几乎不可能发现应用程序是否被攻击或已泄密。