序(上)
信息安全事件管理系统(SIEM)相对于主流IT行业来说是比较新颖的概念。大概在10到20年前,早期的SIEM系统开始以各种形式的产品出现,但近几年才开始被较好的整合起来,在安全架构中找到自己的立足点。SIEM系统是一个复杂的技术集合,它为企业的整个IT系统提供远见和清晰性,使得安全分析人员和IT管理员能够从中受益。正如您将在接下来的章节中看到的,您可以用一个SIME系统来完成所有这一切——甚至更多。几乎每一个小型,中型,或大型企业、部门或政府实体的IT基础设施中都需要配备这么一个强大的系统。
注意:信息安全事件管理系统也称安全信息管理系统,安全事件管理系统,和安全事件与信息管理系统。
安全专家和安全分析师使用SIEM系统来监视、识别、记录攻击,有时还用SIEM系统对安全攻击进行应急处理。其中一些安全事件很容易被识别出来的,比如故意和恶意的拒绝服务(DoS)攻击和病毒爆发。但SIEM系统还可以识别出更难以捉摸的安全事件,它们被每秒数千个安全事件所掩盖,如果没有强大而精细的SIEM系统的帮助,它们将完全不被注意到。这些更难以捉摸的安全事件包括违反安全规定、未经授权的访问尝试,以及发现技术娴熟而又专注的黑客正在有条不紊地潜入公司的IT环境。
安全分析师主要通过对SIEM系统的运营来减少误报告警的数量,但众所周知做这件事的难度不亚于大海捞针。简易的安全系统在许多误报事件上产生告警而闻名(或者更恰当地说,臭名昭著),如入侵检测系统(IDS)。这些误报不仅浪费了安全分析师的时间和精力,还会使他们的注意力变得迟钝,使得真正重要的有效告警更容易被安全分析师们忽略。
许多设备,比如IDSs,通过完全“忽略”某个事件,或者通过将源或流量标记为“安全”来达到减少误报的目的。用这种简单粗暴的方法处理告警量大的问题势必会为攻击者提供一条自由而又不引人注意的通道令他们成功进入您的IT系统。而更为精确的SIEM系统则通过仔细创建过滤和相关事件规则(通常称为SIEM内容)来减少误报告警,只识别以及对那些高质量的安全事件产生告警,同时适当地仔细检查,从而准确地忽略大部分误报。如何过滤告警和编写相关事件规则将是本书的重点。
虽然设计SIEM系统的初衷是考虑到IT系统的安全性能方面,对于网络工程师和IT管理员来说,使用SIEM系统可以是他们常规操作但又不希望它成为太重要的”操作”角色。IT部门可以使用SIEM来识别网络中的各种类型的操作问题,如识别宕机的服务器以及识别故障或配置错误的系统、应用程序和设备。此外,SIEM还可用于确定常规IT系统需求,例如,附加容量需求、用户培训问题以及提示用户可能需要修补、升级或更换的有缺陷的应用程序。
除了刚刚提到的这些好处以外,SIEM系统中的其他方面的强大功能在近年来才开始被探索。除了在IT基础建设这一块以外,我们可以将SIEM实践的视线转向另一个方向,销售部门,企业经营所有者,甚至政府部门都可以准实时地监控和提醒重要的外部活动,这些活动可能表明他们的竞争和市场发生了重大变化。SIEM系统可以从外部关注短讯新闻、搜索引擎和内容库,并对特定市场或特定主题的查询、研究和新闻类型的趋势变化和增长产生告警事件。使用它收集市场、商业或政治情报,你可以识别和量化外部力量,包括对您的市场,外部市场,全球经济,甚至政治力量的微妙和重大的变化。使用SIEM系统,您可以深入了解其他方面竞争或外国政府看不见的活动。啊,但在此处谈及这些讯息还太早。请继续读下去,您会意识到这个工具在IT安全工程师、IT管理人员甚至是创造性和外向思维的营销专业人员、企业主、政府实体手中是多么强大。
什么是SIEM工具?
安全信息和事件管理(SIEM)系统通常被认为提供以下服务集合:
日志管理
IT常规检查/安全合规检查
事件关联
活动事件反馈
终端安全
本书将介绍一些互不关联的软件工具或装置,它们可以为需要这些服务的中小型企业和部门执行这些功能中的一个或多个服务,也可以为看起来可能不需要这些服务或预算有限的的企业或部门提供完全成熟、全面集成的SIEM系统。这本书还将展示全功能的SIEM系统如何执行这些独立的功能,并将它们集成起来,以产生功能强大、更完整的安全和安全合规服务集合,并且证明企业需要和完全负担得起SIEM系统的开销。
日志管理
在SIEM系统中,日志管理首先配置IT系统中的节点,尤其是重要或关键的节点,以便将相关的系统和应用程序事件(日志)发送到由SIEM应用程序管理的中心数据库。这个SIEM数据库首先会解析和规范化 (译者注:规范化是数据库中组织数据的过程) IT系统上众多不同类型节点发送的数据,接着SIEM通常还会提供日志存储、结构化数据、检索和存档服务,以满足企业可能需要的日志管理需求。这些企业出于合规目的经常需要这些服务。这些数据输入到SIEM系统的日志管理组件中有助于进一步使用准实时分析,以及对所有将输入SIEM系统的IT系统数据在健康和安全状态进行数据挖掘。输入SIEM系统的节点越多,您对整个IT系统的看法就越精确。
被输入到SIEM系统节点中的日志在本质上有很大区别。这些节点包括运行各种操作系统的计算机系统,主流操作系统有Linux、UNIX和Windows。其他输入到SIEM中的节点还包括网络基础设施系统设备,如路由器、托管交换机、防火墙、代理服务器、入侵检测系统(IDS)、远程访问系统和各种其他网络设备。这些不同的系统来自于多个供应商,不同的供应商在其产品的日志结构以及上游日志服务器的系统功能上体现出各自不同而又独有的特性。
系统可能安装了内置syslog类型的客户端服务可以满足这种分层日志记录的目的,例如路由器和其他网络设备上的服务,或者您可能需要在网络节点上安装第三方syslog客户端软件来导出日志,如Winlogd或Snare。SIEM供应商还可以提供一组自定义代理,只要把这些代理安装在特定类型的节点上就能执行导出功能。
IT常规检查/安全合规检查
现在,所有来自重要和关键系统的事件都被记录下来了,您可以构建过滤器、规则和计时器来审核(根据标准进行监视)和验证安全等级保护是否到位,或者识别公司在安全等级保护要求下是否出现违规情况。根据输入到系统中的日志进行检查的规则内容可能包括:监视密码更改的频率、识别无法安装的操作系统(OS)或应用程序修补程序,以及出于安全等级保护要求下的审核防病毒软件、反间谍软件和IDS更新的频率。虽然您可能会构建自己的过滤器或规则集合来帮助满足等保要求,但许多SIEM供应商都包含预先打包的规则集合,这些规则集合是专门为满足企业需要遵守的不同法律法规的要求而设计的。这些功能通常是由供应商提供的打包的附加组件,甚至是在上市后增值向SIEM客户收取费用的经销商。
几乎所有的SIEM系统都包括功能齐全的报告系统,许多系统都有预先设计和可定制的报告。企业通常需要这些报告来提供自我审计的证据并验证其合规性水平。
事件关联
事件关联使方程式具有更高的智能水平。你不会在只看到一个事件的情况下,选择处置或不处置。通过事件关联,可以教会系统在触发警报之前考虑各种情况。例如,一个服务器以100%的CPU利用率运行可能是由许多不同的因素造成的。它可能表示正在发生需要纠正的问题,也可能不是。也可能是一个失败的应用程序锁定了服务器。它还可能表示系统的合法活动过载,并指示一个或多个服务或应用程序应分布在其他服务器上,例如在集群中。由于蠕虫病毒对系统执行拒绝服务(DoS)攻击,服务器可能已达到最大性能。或者它可能只是暂时的自然的服务器活动。SIEM上的关联引擎可以调查和考虑(关联)与CPU利用率不一定相关的其他事件,还可以提供服务器运行状况的更完整的图像,以排除有关问题原因的特定理论。例如,在CPU利用率为100%的情况下,可以将SIEM配置为考虑以下因素:
防病毒(AV)应用程序是否已识别此服务器上的恶意软件
其他系统上的AV应用程序最近是否报告了恶意软件?
是否有其他服务器以100%的CPU利用率运行?他们报告过病毒活动吗?
是否有一个应用程序或多个应用程序或服务停止响应?
是否存在与此服务器相似的正常网络流量峰值,这个峰值对于应用程序来说是合理的但偏高?
是否存在与此服务器类似的非典型网络流量峰值,但它可能意味着DoS攻击?它的流量是否来自不同的来源?可能确定为分布式拒绝服务(DDoS)攻击?
这些问题体现了事件之间的相关性。SIEM的警报和你的反应之所以会有所不同,很大程度上取决于这些条件中的真正有效的事件告警。
活动事件处置
现在您已经拥有了向SIEM提供事件的所有系统,定义了您的规则和筛选器,并且您的关联规则已经就位;您是要对所有已验证的安全事件采取操作并执行事件处置,还是应该将SIEM配置为自动和主动地处置特定类型的关联事件?当然,让SIEM自动地对感知到的威胁或错误配置采取纠正措施,会让安全分析员,甚至可能是IT部门的工作人员从他们的工作中解脱出来。许多SIEM系统可以执行主动处置,例如,在路由器的访问控制列表(ACL)上添加IP和端口筛选器,或者防火墙SIEM对感知到的威胁的触发、自动和主动处置可能比简单地向人类发出警报然后要求执行这些任务反馈的速度要快得多。这将会是一件很好的事情,难道不是吗?尽管提供自动处置的SIEM有一些明显的好处,但是只有在成熟的安装和经过微调的SIEM上才能实现自动化的主动处置。如果这个过程没有经过仔细考虑和精确实现,那么您的SIEM系统可能会对一系列误报事件做出响应,并且您可能正在自己的网络上执行DoS攻击。活动事件自动化处置对很容易成为一把双刃剑。
终端安全
大多数SIEM系统可以监视终端是否安全,以集中验证系统“健康”的安全性。许多SIEM系统可以监视PC或服务器上的防火墙是否正在运行,并且可以识别防病毒软件定义的最后更新时间以及确认当其节点受到间谍软件感染的时间。一些SIEM系统甚至可以管理终端安全,实际上对远程系统上节点的安全性进行调整和改进,例如配置防火墙以及更新和监视系统内节点上的防病毒软件、反间谍软件和反垃圾邮件产品。此外,一些SIEM系统可以下载并安装更新,或者在主动处置模式下在配置错误的个人防火墙上调整ACL。
发表评论
您还未登录,请先登录。
登录