过去几年里,安全信息和事件管理(SIEM)技术一直备受指责。其复杂性和对专业服务的过度需求招致了很多抱怨,很多企业都对其部署SIEM进行安全监控的经历感到失望。
但那是以前,现在已经不同。公平地说,技术已经不再是企业难以成功部署SIEM的原因。领先的SIEM平台已经经历了“大脑移植”,迁移到特定目的的数据存储,这些数据存储能够提供足够的性能和规模。曾经笨重且不可靠的系统连接器和日志聚合器现在更有效,使数据收集变得相对简单。
但SIEM仍然面临着很多困难,所有依赖基于规则的政策的技术都是如此。SIEM必须知道它要寻找什么。神奇的SIEM产品并不会自动地发现利用新方法或罕见漏洞的攻击。
要知道,SIEM在攻击检测中发挥着重要作用。但要成功检测出已知甚至是未知攻击类型,企业必须建立一套策略来寻找其环境中的攻击情况和指标,并持续监控这些情况。
那么,到底该如何建立这种策略呢?当然,等待它自己出现并不现实。下面我们看看建立有效SIEM政策的简单过程。
在合理范围内收集所有数据
如果没有收集足够的数据,SIEM就无法进行全面分析。所以第一步是收集正确的数据。这意味着什么呢?先从明显的数据开始,例如网络、安全和服务器设备日志。这些数据很多,且容易获得。接着,从应用基础设施(数据库、应用)获取日志信息。当然,SIEM还需要各种其它数据源,包括身份数据、网络流量、漏洞扫描结果以及配置数据。
对于SIEM系统而言,数据越多越好。如果可以的话,收集所有数据。如果需要对收集的数据进行优先排序,应该先考虑从最重要的技术资产(即受保护环境中的设备以及处理受监管数据的设备)收集的数据。另外还要注意处理关键知识产权的系统。
构建规则
建立SIEM规则库是一个迭代的过程。这意味着这个过程相对较慢,需要长期的细化或调整。很多人在开始这个过程时出现“分析瘫痪”,因为有数百万种可能建立的规则。因此,我们建议首先要明确应该被定义的规则。
在建模过程中,从重要资产开始。将你自己放在攻击者的角色,并开始监视你会想窃取的数据。
模拟威胁:如果你是攻击者,你会如何入侵和窃取数据呢?模拟这种威胁,然后在SIEM工具中列举这些攻击向量。不要忘了渗出,因为这为企业在数据被窃前提供了检测攻击的另一个机会。用现实的态度进行这个过程,因为威胁模型并不完全准确,它可能是不完整或者不全面的。最重要的是简单地开始威胁建模过程,这是很好的开端。
完善规则:对你自己发动攻击。有很多现成的工具可用来攻击你的环境,你可以试试。然后监控你的SIEM的活动。它是否发出正确的警报,是否在适当的时间?警报是否提供足够的信息来协助响应者弄清楚发生了什么并采取行动?如果答案是否定的,请回到第一步,完善规则。
优化阈值:随着时间的推移,你会逐渐了解SIEM警报是否过于频繁或者不足够。根据这一点,适当调整阈值。这是一个平衡,如果阈值过于紧,警报会减少,但这更容易错过攻击。反之亦然,如果警报过于频繁的话。
清洗、漂洗、重复:在针对特定攻击的规则集部署和优化后,移动到下一个攻击向量,在建模每种威胁时,重复这个过程。
顺便说一句,这个过程永远不会结束。总会有新攻击需要建模,新指标需要监测。企业必须密切关注安全新闻来了解哪种攻击很流行。最新威胁研究报告(例如Mandiant公司的APT1报告)包含明确的指标,每个企业都可以(而且应该)考虑将这些指标加入其SIEM。有了威胁情报和全面的数据收集环境,你就找不到借口了:现在是时候开始寻找不断涌现的高级攻击了。
也请记住,随着时间的推移,你需要添加新的数据类型到SIEM,这将需要重新考虑所有的SIEM规则。例如,如果捕捉网络数据包流量并发送到SIEM,这将会提供大量可供分析的新信息。如果能够查看实际网络流量,这会给查找某种攻击带来什么影响?我们可以添加哪些其他规则来更快地检测攻击?这些都不是琐碎的问题。每次添加(或删除)一种数据源,检查SIEM规则可以帮助提高攻击检测速度。
这个过程最重要的是保持一致性。SIEM并不是“一次设置,终身无忧”的技术。它需要悉心的照顾和对待--不只是现在,而是它的整个生命周期。如果你对此有任何侥幸心理,你最终会很失望。