鑒于正確實(shí)施、 管理和利用安全信息和事件管理 (SIEM) 系統(tǒng)對組織的安全基礎(chǔ)結(jié)構(gòu)環(huán)境的重要性，很明顯破壞SIEM系統(tǒng)可能是攻擊者用來避免檢測或破壞環(huán)境安全管理的一種成功方法。

有哪些潛在影響會使SIEM系統(tǒng)受損，又有哪些防御措施可供企業(yè)找來保護(hù)其SIEM系統(tǒng)呢？這些都是我們會設(shè)法在此回答的問題。

將SIEM系統(tǒng)視為可用性高的企業(yè)資源

從安全操作的角度分析，我們應(yīng)該認(rèn)識到SIEM系統(tǒng)是安全基礎(chǔ)結(jié)構(gòu)的重要組成部分，也是托管企業(yè)環(huán)境中的眾多系統(tǒng)之一。為此，我們應(yīng)該對SIEM系統(tǒng)進(jìn)行定期輪詢以確保其正常的運(yùn)行和操作。SIEM系統(tǒng)部署計劃之一就是確保 SIEM 系統(tǒng)作為企業(yè)環(huán)境中的關(guān)鍵系統(tǒng)能夠被大家認(rèn)可，并保證其運(yùn)行的硬件和軟件系統(tǒng)被視為高風(fēng)險，進(jìn)行配置和管理。

我們也要考慮SIEM系統(tǒng)的適應(yīng)能力。因?yàn)?，下一代SIEM系統(tǒng)會注重功能的設(shè)計，像自適應(yīng)路徑選擇，若一條安全事件傳遞路徑不被阻斷，那么會有其他的路徑跟上來，或者帶外信號到中心節(jié)點(diǎn)之間的傳輸信道至少有一條是可用的。

目前實(shí)現(xiàn) SIEM 系統(tǒng)安全的有效步驟

雖然這些下一代 SIEM 保護(hù)功能被納入未來 SIEM 系統(tǒng)產(chǎn)品，現(xiàn)在還是有很多方法可以確保 SIEM 安全。將一種典型的安全檢測方法應(yīng)用于 SIEM 系統(tǒng)本身，可以有效地實(shí)施安全事件收集過程：

◆從身份驗(yàn)證和訪問控制的角度來看，我們應(yīng)該對SIEM系統(tǒng)的訪問進(jìn)行精心設(shè)置和管理。與企業(yè)的 LDAP（輕量級的目錄訪問協(xié)議）目錄服務(wù)相集成的方法可以確保 SIEM 系統(tǒng)看起來不是孤島，而是托管環(huán)境的組成部分。對系統(tǒng)的訪問應(yīng)該是有限制的，盡可能采用"權(quán)限分離"的方法對系統(tǒng)訪問進(jìn)行限制，尤其是特權(quán)訪問，即任何個人或管理員都不能單獨(dú)操作系統(tǒng)。

◆ 我們必須考慮安全信息的保密性和完整性，特別是信息收集代理/聚集點(diǎn)和中央管理節(jié)點(diǎn)之間的信息傳播方式。信息的存儲－－例如，中央節(jié)點(diǎn)的數(shù)據(jù)庫需要考慮其保密性。隱私也要考慮，但這取決于安全事件運(yùn)用的地點(diǎn)和方式。

◆在某些情況下，匿名被應(yīng)用于安全事件，因此可以確定一個大體的趨勢－－尤其是管理站外或跨多個客戶端時－－在組織的控制和管理下，只有有限范圍將這種管理轉(zhuǎn)變?yōu)槭聦?shí)。

◆可以考慮用不可否認(rèn)性來確保經(jīng)授權(quán)的或其他的開發(fā)者無法否認(rèn)已對項目操作的事實(shí)。然而，只有考慮到SIEM事件在初始系統(tǒng)中如何進(jìn)行集中存儲，才確?？梢允占浞值牟僮髯C據(jù)。

◆最后，系統(tǒng)的可用性也是一個安全問題，對SIEM系統(tǒng)來說也同樣存在問題。從架構(gòu)來看，未來的 SIEM 產(chǎn)品將有自我修復(fù)、 自適應(yīng)類型的功能。在此期間，業(yè)務(wù)的災(zāi)難恢復(fù)方面應(yīng)確保 SIEM 系統(tǒng)運(yùn)行在高效的基礎(chǔ)設(shè)施之上，相對于同時修復(fù)的其他關(guān)鍵任務(wù)系統(tǒng)，要優(yōu)先保證SIEM 的有序監(jiān)測和觀察。歸根結(jié)底，要看造成運(yùn)行中斷或?yàn)?zāi)難的原因是什么，最重要的是讓安全系統(tǒng)首先運(yùn)行起來，這樣可以確保任何突發(fā)的模式、警報、 事件或事故是可見的，并且是可以進(jìn)行調(diào)查和反饋?zhàn)粉櫟摹?/p>

仔細(xì)的部署可以增強(qiáng) SIEM 系統(tǒng)的安全，但這需要更多的時間來創(chuàng)建增強(qiáng)SIEM產(chǎn)品適應(yīng)力的架構(gòu)，而將它們作為整體管理系統(tǒng)中高可用的關(guān)鍵系統(tǒng)則可以馬上做到。