對于暴露在Internet上的信息，許多組織都有密碼驗證系統(tǒng)。然而最近的研究表明，憑據(jù)濫用、可猜測密碼和強力攻擊仍然是危害組織網(wǎng)絡(luò)的行為中最常用的方法。安全信息與事件管理(SIEM)技術(shù)可以幫助企業(yè)的昂貴數(shù)據(jù)避免因為可猜測密碼或濫用憑據(jù)的行為被盜。每個組織，特別是那些擁有面向Internet的IT資產(chǎn)并支持密碼認(rèn)證(如VPN設(shè)備、Web服務(wù)器、SSH和其它遠(yuǎn)程訪問)的組織，應(yīng)該充分利用他們的SIEM技術(shù)來幫助企業(yè)防御未授權(quán)的訪問。

自動登錄跟蹤可以幫助發(fā)現(xiàn)來自內(nèi)部和外部的惡意活動。SIEM是唯一適合自動化這個艱巨任務(wù)的技術(shù)。它可以收集和分析來自多個系統(tǒng)的成功和失敗的記錄，以此確定攻擊者何時接管賬戶憑據(jù)。

SIEM用來監(jiān)視未經(jīng)授權(quán)的訪問嘗試所需要的數(shù)據(jù)相對簡單。系統(tǒng)需要收集所有平臺的登錄信息，包括認(rèn)證記錄。重要的是，所有系統(tǒng)、設(shè)備和應(yīng)用中無論是成功還是失敗的登錄信息都需要收集。登錄失敗意味著安全系統(tǒng)在起防御作用，當(dāng)然，登錄成功就意味著現(xiàn)在有人進(jìn)入了你的系統(tǒng)。在這個密碼被盜、快速CPU破解加密文件的時代，登陸成功并不等同于是“授權(quán)訪問”。

相關(guān)規(guī)則和警報

一個SIEM相關(guān)規(guī)則可以用來使部分系統(tǒng)登錄和身份驗證檢測過程自動化。以下是確保訪問監(jiān)控有效的相關(guān)規(guī)則的例子：

◆當(dāng)攻擊者試圖在一個系統(tǒng)中使用所有憑據(jù)時，這是一個單一系統(tǒng)攻擊

◆幾次登錄失敗之后，突然登錄成功

◆身份驗證掃描攻擊(在所有系統(tǒng)嘗試使用同一個憑據(jù))

◆在不尋常的時間登錄成功(對于用戶或系統(tǒng)來說)

◆在不尋常的地點登錄成功(對于用戶或系統(tǒng)來說)

視圖和報告

常規(guī)報告和指示性視圖對于這個案例很有用，如下：

◆頂級系統(tǒng)登錄失敗

◆登錄失敗/成功率變高趨勢

◆登錄失敗趨勢

◆用戶在多個系統(tǒng)登錄失敗

注意，無論是基于規(guī)則或基線，報告并不能代替警告。在大多數(shù)情況下，當(dāng)一個人審查報告，發(fā)現(xiàn)一些新的、不尋?；蚩梢傻氖挛飼r，惡意活動就被發(fā)現(xiàn)了。審查報告的頻率可以從每天(這是理想化的，并且一些外部要求，如PCI DSS，也規(guī)定如此)到每周，甚至每月。只要你的組織滿意“檢測差距”(即事件發(fā)生和事件在審查報告過程中被發(fā)現(xiàn)之間的時間差距)，那么這個頻率就是可以接受的。

當(dāng)攻擊者猜測到密碼時，SIEM技術(shù)可以自動收集數(shù)據(jù)并發(fā)送警告。然而，組織必須確保SIEM技術(shù)支持有效的事件響應(yīng)流程和程序(再次強調(diào)，這些流程和程序應(yīng)該要實際存在!)。在某些自動響應(yīng)情況下，無論是通過人工分析和修補都需要發(fā)送警告，如一個通過DLP、其它防火墻或數(shù)據(jù)泄露產(chǎn)品的整合響應(yīng)系統(tǒng)。想要發(fā)送恰當(dāng)?shù)木妫敲碨IEM系統(tǒng)需要非常了解正常的登錄日志基線和典型活動，這不僅僅要求實現(xiàn)SIEM技術(shù)，還需要配備一個熟練的SIEM技術(shù)操作者，熟練的操作者對于整個系統(tǒng)高效工作非常有用。除了部署SIEM技術(shù)，收集登錄日志、運行報告和使用相關(guān)觸發(fā)警報，操作程序還需要一個有效地服務(wù)器訪問監(jiān)控過程。例如，當(dāng)系統(tǒng)管理員發(fā)現(xiàn)同一時間，用戶在兩個不同地方登錄時，管理員應(yīng)該做什么?管理員是否有權(quán)利終止會話、禁用賬戶、與用戶管理器溝通并采取措施?可操作程序可以讓這些動作重復(fù)化，快速且有效，也確保持續(xù)的跟蹤和改進(jìn)。