由于企业发生安全事件和漏洞变得越来越普遍,安全信息和事件管理(SIEM)解决方案日渐引起了企业的兴趣和重视。理想情况下,SIEM将帮助企业收集和关联日志、以及相关事件数据来识别和应对那些真正会引发安全威胁的问题。这是一个相当艰巨的任务,许多部署了SIEM的企业均对此感到失望,因为他们没有达到他们所期望的效果。
托管安全服务提供商Proficio公司的总裁兼首席执行官布拉德·泰勒表示说,他的公司经常被客户的电话叫去抢救各种没有成功部署的SIEM。在积累了数年的经验之后,泰勒对于客户的相关项目最有可能在何处脱轨有着清晰的把控。
“很多企业都是将SIEM作为一款设备购买的,他们认为其就如同防火墙或IDS一样,只要在最初设置了之后,慢慢就将其忘记了。”泰勒说。实际上,其是一个框架,需要特殊的考虑框架中的管理软件,以及保持内容的相关性,以确保其所提供的信息是可操作的。“这是真正的挑战,其还涉及到一大堆的东西,以使其更有效。”
他认为,最为重要的问题包括:
缺乏可操作的警报
缺乏相关的内容和使用案例
缺乏执行能见度
进程未能充分完整的部署实施
具有访问权限的人员
未能让检测工作起到预防作用
我就相关的挑战问题和他关于如何从SIEM获得最大的价值的建议,与泰勒进行了一次详谈。
“许多企业都会安装这些设备,以便向其指明他们的相关日志和其他数据源,并建立起基本的内容,而每天的安全事件从数百万到一两千件不等。”泰勒说。 “这仍然不是一个可以进行调查管理的数量。他们需要静下心来,专注以两三个有意义的事件活动,有针对性的调查,而从数千个安全事件中获得两三个便是一项挑战。”
企业没有得到他们所需要的可操作的警报,因为来自诸如防火墙和入侵检测系统(IDS)这样的设备仍然有太大的噪音,并且围绕着警报也没有足够的背景能让他们真正信任。这可能会导致安全分析师把时间浪费在意义不太重大的事件上。泰勒强调了来自SIEM设备上的超越了基层内容,并能够提供自定义的使用案例,而且是特定于企业用户的业务和计算环境的重要性。
“我们在SIEM和使用案例中看到缺乏相关的内容。”根据泰勒介绍。“一个SIEM可以帮助您找到很多东西,但你必须告诉需要寻找的是什么,或者你可以给它一些条件,这样其就可以开始分析行为。你也必须明白,相关的安全威胁是不断发展的,需要不断地适应你的内容和你的使用案例。”
他说,一个简单的使用案例:可能是想知道“当企业的某个员工在办公室登录到自己的台式机,并在同一时间从远程位置登录到VPN。毕竟一个人不能同时出现在两个地方,这样,企业就会知道这是一个值得深入挖掘的情况。需要查看分析两个登录源,对两个登录源分别来自何处做定位分析,并发出相关类型的警报。这是一个非常简单的企业可能想基于员工的差旅和使用VPN设置的使用案例。当然还有更复杂的使用案例,也可以围绕应用程序、Web门户网站和寻找恶意软件和恶意活动的基本内容建立。”
他给出了一个如何把一次安全事件融入周围环境的例子。假设你企业有IDS检测活动,正试图利用一个危险的漏洞,如Shellshock。但流量是针对那些不具有漏洞的系统,基于漏洞扫描你企业已经有的数据。重要的是要关联这些数据点,这样你就不会以追逐那些根本没什么要紧的东西而结束了。
很多企业并没有花时间去将他们的内部资源和政策模拟成SIEM,使其更有效地确定可疑的内部威胁,以及周边环境的安全性。 “企业需要模拟他们的资产,”泰勒说。“他们需要确保熟悉其环境中的一切,熟悉金融区域与开发区域,熟悉相关的企业政策应该从哪里传达到哪里,这就是业务的环境背景。它告诉我很多关于什么情况应该是正常的,然后我可以创建使用案例和行为,这样我可以寻找那些异常的东西。”
他补充说,“你不能依靠SIEM的基本内容以回答有关环境背景和重点的问题。所有的SIEM有基本的内容固然是相当不错,但你必须去适应它,将其模拟到您自己的环境和当下的安全威胁。你必须不断增加和调整内容。”
泰勒表示说,企业的SIEM项目失败的另一方面是其运作,或定义进程如何进行。例如,从安全操作中心发送一个请求到网络运营团队以解决防火墙块的问题的进程是怎样的?该请求将如何优先? 如果有可能导致违反环境的关键威胁,网络团队需要现在就立马解决块的更改问题,而不是等到常规变更管理窗口四天之后才解决。泰勒建议在一个共享的运行手册定义这样的流程,以避免临时反应或活动。
SIEM的部署实现还有一个有时会引发问题的领域是要在相关的岗位上安排合适的人员。泰勒说,SIEM专家很难找到,且有着高度的需求。不过,也有一些关键的角色,公司必须要有,就像一个内容作者,一个SIEM架构师进行使用案例建模和SIEM管理员以确保数据源和数据库工作正常。如果一家企业无法找到足够的员工来组成一个合格的团队,有些任务可以采用外包,比如全天候覆盖的监测和响应警报。
泰勒说,企业可以从SIEM解决方案中获得了很多价值,但是只有当其是不断地按照企业的内容和策略为目的而定制服务时,才能发挥其最大价值。