设置好了就放一边任其静置积灰不是SIEM的正确打开方式。是时候来一次大扫除了。
信息安全及事件管理(SIEM)系统想要见成效,公司企业在购入产品后还需经过一系列的设置与调整。一旦设置完毕,SIEM可快速成为工程师工具箱中的宝贵工具,用以识别风险、趋势、恶意行为,甚至能发现简单的配置错误。但有多少公司企业将SIEM视为静态解决方案,设置好了就不再调整?
一劳永逸的理想很美好,但现实很骨感:我们所处的环境总在发展变化——数据类型、终端、子网、合规要求、技术与业务风险,还有最初设置SIEM时参考的其他变量,都是动态的。当然,大企业通常都有专门维护SIEM的团队留意这些变化并适时作出调整。中小企业却往往陷入日常工作而无暇顾及这些变化。毕竟,网络安全人才短缺已经是众所周知的事实,而且毫无改善的迹象。随着时间发展,如果环境的变化一直被忽视,警报也会变得走样和不全面,最终导致恶名在外的警报疲劳现象。
中小企业可以考虑将SIEM更新视为除夕大扫除一样的活动,专门拿出一到两天时间复核所有的警报、规则、变量及其他SIEM准则,确定哪些依然重要而哪些已无关紧要,敲定哪些已经改变,并考虑下列事项:
1. 有哪些SIEM应用更新是已发布但没应用的?希望没有这种情况出现,但可以借此机会确认并修复系统,使系统处于最新、最稳定的版本。
2. 网络运维团队有没有在应监视流量的地方设置新的子网或设备,比如隔离区(DMZ)环境?
3. 系统团队有没有部署应监视日志记录的新服务器?
4. 终端有没有开始应用应受监视的任何新软件(操作系统或生产应用程序)?
5. 有没有任何应用或服务迁移到新的服务器或子网中?
6. 有没有引入任何新的特殊访问权限(比如供应商和承包商)?
7. 有没有新用户被提权?
8. 如果公司使用文件完整性监测和用户及实体行为分析,所有需要的节点上都配置了吗?监视的是正确的指标吗?
在推进到下一步之前,请考虑一个常被忽视掉的问题:公司针对上述事项的风险胃纳有没有发生改变?一年前被认定为低风险的事项,可能现在就是高风险的。一年前的高风险事项也有可能现在已无关紧要。充分了解业务重点有助于弄清哪些是关键的,而哪些不是——需谨记:安全人员眼中的关键未必是业务关键因素。
为了全面彻底,不妨将年度复核视为既定设置。别因为记得曾经设置过就假设规则或警报的配置依然有效,也别觉得没什么东西需要改变。这种想法就跟因为没什么东西 “应该会” 在沙发下面而不去搬开沙发清扫是一样的,搬开的结果往往打脸——沙发下面 “横尸” 的物品之多可能会超出你的想象。
就像每年除夕都要大扫除一样,抖抖布满灰尘的东西,深入查看阴暗的角落,总能做出可以让生活变得更美好的改变。如果可以的话,把你的SIEM供应商也拉进来,大多数供应商都会与你的账户经理进行定期审查,指出过去一段时间里的得失,阐明可以改善的方面,提出已知的有用建议或案例参考。
该过程不应被当作新购置安全解决方案的评估,而应被视为确保当前接收的安全信息及时、准确、重要的机会。SIEM年度大扫除将许你一个清爽洁净的环境和整套焕然一新的SIEM系统。
相关阅读
