保護(hù)SIEM系統(tǒng):訪問控制和優(yōu)先可用性
鑒于正確實(shí)施、 管理和利用安全信息和事件管理 (SIEM) 系統(tǒng)對組織的安全基礎(chǔ)結(jié)構(gòu)環(huán)境的重要性,很明顯破壞SIEM系統(tǒng)可能是攻擊者用來避免檢測或破壞環(huán)境安全管理的一種成功方法。
有哪些潛在影響會使SIEM系統(tǒng)受損,又有哪些防御措施可供企業(yè)找來保護(hù)其SIEM系統(tǒng)呢?這些都是我們會設(shè)法在此回答的問題。
將SIEM系統(tǒng)視為可用性高的企業(yè)資源
從安全操作的角度分析,我們應(yīng)該認(rèn)識到SIEM系統(tǒng)是安全基礎(chǔ)結(jié)構(gòu)的重要組成部分,也是托管企業(yè)環(huán)境中的眾多系統(tǒng)之一。為此,我們應(yīng)該對SIEM系統(tǒng)進(jìn)行定期輪詢以確保其正常的運(yùn)行和操作。SIEM系統(tǒng)部署計劃之一就是確保 SIEM 系統(tǒng)作為企業(yè)環(huán)境中的關(guān)鍵系統(tǒng)能夠被大家認(rèn)可,并保證其運(yùn)行的硬件和軟件系統(tǒng)被視為高風(fēng)險,進(jìn)行配置和管理。
我們也要考慮SIEM系統(tǒng)的適應(yīng)能力。因?yàn)?,下一代SIEM系統(tǒng)會注重功能的設(shè)計,像自適應(yīng)路徑選擇,若一條安全事件傳遞路徑不被阻斷,那么會有其他的路徑跟上來,或者帶外信號到中心節(jié)點(diǎn)之間的傳輸信道至少有一條是可用的。
目前實(shí)現(xiàn) SIEM 系統(tǒng)安全的有效步驟
雖然這些下一代 SIEM 保護(hù)功能被納入未來 SIEM 系統(tǒng)產(chǎn)品,現(xiàn)在還是有很多方法可以確保 SIEM 安全。將一種典型的安全檢測方法應(yīng)用于 SIEM 系統(tǒng)本身,可以有效地實(shí)施安全事件收集過程:
◆從身份驗(yàn)證和訪問控制的角度來看,我們應(yīng)該對SIEM系統(tǒng)的訪問進(jìn)行精心設(shè)置和管理。與企業(yè)的 LDAP(輕量級的目錄訪問協(xié)議)目錄服務(wù)相集成的方法可以確保 SIEM 系統(tǒng)看起來不是孤島,而是托管環(huán)境的組成部分。對系統(tǒng)的訪問應(yīng)該是有限制的,盡可能采用"權(quán)限分離"的方法對系統(tǒng)訪問進(jìn)行限制,尤其是特權(quán)訪問,即任何個人或管理員都不能單獨(dú)操作系統(tǒng)。
◆ 我們必須考慮安全信息的保密性和完整性,特別是信息收集代理/聚集點(diǎn)和中央管理節(jié)點(diǎn)之間的信息傳播方式。信息的存儲--例如,中央節(jié)點(diǎn)的數(shù)據(jù)庫需要考慮其保密性。隱私也要考慮,但這取決于安全事件運(yùn)用的地點(diǎn)和方式。
◆在某些情況下,匿名被應(yīng)用于安全事件,因此可以確定一個大體的趨勢--尤其是管理站外或跨多個客戶端時--在組織的控制和管理下,只有有限范圍將這種管理轉(zhuǎn)變?yōu)槭聦?shí)。
◆可以考慮用不可否認(rèn)性來確保經(jīng)授權(quán)的或其他的開發(fā)者無法否認(rèn)已對項目操作的事實(shí)。然而,只有考慮到SIEM事件在初始系統(tǒng)中如何進(jìn)行集中存儲,才確??梢允占浞值牟僮髯C據(jù)。
◆最后,系統(tǒng)的可用性也是一個安全問題,對SIEM系統(tǒng)來說也同樣存在問題。從架構(gòu)來看,未來的 SIEM 產(chǎn)品將有自我修復(fù)、 自適應(yīng)類型的功能。在此期間,業(yè)務(wù)的災(zāi)難恢復(fù)方面應(yīng)確保 SIEM 系統(tǒng)運(yùn)行在高效的基礎(chǔ)設(shè)施之上,相對于同時修復(fù)的其他關(guān)鍵任務(wù)系統(tǒng),要優(yōu)先保證SIEM 的有序監(jiān)測和觀察。歸根結(jié)底,要看造成運(yùn)行中斷或?yàn)?zāi)難的原因是什么,最重要的是讓安全系統(tǒng)首先運(yùn)行起來,這樣可以確保任何突發(fā)的模式、警報、 事件或事故是可見的,并且是可以進(jìn)行調(diào)查和反饋?zhàn)粉櫟摹?/p>
仔細(xì)的部署可以增強(qiáng) SIEM 系統(tǒng)的安全,但這需要更多的時間來創(chuàng)建增強(qiáng)SIEM產(chǎn)品適應(yīng)力的架構(gòu),而將它們作為整體管理系統(tǒng)中高可用的關(guān)鍵系統(tǒng)則可以馬上做到。