在新冠疫情開(kāi)始之初，當(dāng)世界各地的政府下達(dá)居家令時(shí)，我們很難想象工作狀態(tài)會(huì)發(fā)生永久改變。不過(guò)，隨著組織迅速采用和擴(kuò)展系統(tǒng)，以支持在短短三周內(nèi)規(guī)模翻了一番的遠(yuǎn)程員工隊(duì)伍之后，公司文化也開(kāi)始發(fā)生轉(zhuǎn)變。隨著員工開(kāi)始適應(yīng)遠(yuǎn)程工作模式，許多員工已經(jīng)向他們的雇主證明，他們居家辦公也可以保持與之前一樣的高效率，甚至在某些情況下還可以提高工作效率。

由于這種被迫進(jìn)行的嘗試，許多專(zhuān)家和管理人員現(xiàn)在預(yù)測(cè)：這種靈活的居家辦公策略將會(huì)繼續(xù)存在。Gartner 的研究表明，有 41% 的員工將會(huì)繼續(xù)居家辦公，而在新冠疫情發(fā)生之前這一比例只有 30%。此外，已有 13% 的首席財(cái)務(wù)官 (CFO) 開(kāi)始削減用于辦公空間的房地產(chǎn)支出。隨著遠(yuǎn)程工作模式的持續(xù)，安全專(zhuān)家需要采用相應(yīng)的方法來(lái)維持已在消失多年的網(wǎng)絡(luò)外圍中幾乎不存在的可視性、監(jiān)控和威脅檢測(cè)。

盡管存在新的盲點(diǎn)，但在以下四個(gè)關(guān)鍵領(lǐng)域中，集中式安全信息和事件管理 (SIEM) 解決方案可以幫助安全團(tuán)隊(duì)重新獲得并提升可視性與監(jiān)控。

電子郵件

有針對(duì)性的攻擊者擅長(zhǎng)編寫(xiě)極具吸引力的網(wǎng)絡(luò)釣魚(yú)電子郵件，而且他們的技巧會(huì)越來(lái)越純熟。電子郵件是需要予以監(jiān)控的最重要的威脅媒介之一，因?yàn)樵谶M(jìn)入組織網(wǎng)絡(luò)的惡意軟件中，有 94% 的惡意軟件都是通過(guò)網(wǎng)絡(luò)釣魚(yú)來(lái)交付的。若要盡早了解這些威脅，更重要的是，若要準(zhǔn)確跟蹤網(wǎng)絡(luò)釣魚(yú)電子郵件打開(kāi)后發(fā)生的情況，安全團(tuán)隊(duì)需要獲得對(duì)整個(gè)組織中所發(fā)生情況的集中視圖。

為此，安全運(yùn)營(yíng)中心 (SOC) 團(tuán)隊(duì)可以將相關(guān)電子郵件事件和網(wǎng)絡(luò)流量的組合信息發(fā)送到集中式 SIEM 解決方案進(jìn)行分析。通過(guò)攝入和分析電子郵件事件或電子郵件安全事件（例如來(lái)自 Proofpoint 或 Cisco IronPort 的事件），安全分析人員可以更有效、更全面地查看基于電子郵件的威脅。

為了獲得更深入的洞察力，分析人員還可以利用網(wǎng)絡(luò)分析功能來(lái)提取其他屬性，例如電子郵件發(fā)件人、附件名稱、文件哈希和 URL，然后將這些屬性與威脅情報(bào)進(jìn)行實(shí)時(shí)關(guān)聯(lián)。如此一來(lái)，這種網(wǎng)絡(luò)級(jí)洞察力可以針對(duì)可能預(yù)示著網(wǎng)絡(luò)釣魚(yú)攻擊的已知威脅和可疑屬性提供早期可視性并警報(bào)。

端點(diǎn)

在大規(guī)模轉(zhuǎn)向遠(yuǎn)程工作模式之前，公司通?？梢苑譃閮煞N類(lèi)型：

· 一種是那些幾乎完全采用辦公室工作模式，其用戶使用臺(tái)式機(jī)進(jìn)行工作的公司，

· 而另一種是那些支持遠(yuǎn)程工作模式，其筆記本電腦上的用戶可以通過(guò)虛擬專(zhuān)用網(wǎng)絡(luò)連接到網(wǎng)絡(luò)的公司。

當(dāng)員工幾乎完全轉(zhuǎn)向遠(yuǎn)程工作模式時(shí)，他們都會(huì)面臨諸多挑戰(zhàn)。之前采用辦公室工作模式的組織需要迅速弄清楚如何為遠(yuǎn)程員工啟用核心服務(wù)和應(yīng)用，而且在某些情況下，還需要首次部署虛擬專(zhuān)用網(wǎng)絡(luò)。支持遠(yuǎn)程工作模式的公司會(huì)發(fā)現(xiàn)虛擬專(zhuān)用網(wǎng)絡(luò) 使用量激增，網(wǎng)絡(luò)不堪重負(fù)且速度大大降低，從根本上迫使用戶不得不脫離 虛擬專(zhuān)用網(wǎng)絡(luò) 來(lái)維持生產(chǎn)效率。從安全角度來(lái)看，兩種情況都在端點(diǎn)和用戶活動(dòng)方面引入了大量盲點(diǎn)。

若要重新獲得可視性，安全團(tuán)隊(duì)可以結(jié)合采用端點(diǎn)操作系統(tǒng) (OS)、虛擬專(zhuān)用網(wǎng)絡(luò) 和端點(diǎn)檢測(cè)與響應(yīng) (EDR) 事件來(lái)進(jìn)行威脅檢測(cè)。借助 Windows、macOS 和 Linux 的本地日志記錄，安全團(tuán)隊(duì)可以洞悉端點(diǎn)級(jí)別發(fā)生的情況。通過(guò)使用 Sysmon 擴(kuò)展 Windows 事件日志記錄，團(tuán)隊(duì)可以獲得更深入的威脅相關(guān)洞察力，例如流程活動(dòng)和域名系統(tǒng) (DNS) 請(qǐng)求。

對(duì)于使用 EDR 解決方案（例如 Carbon Black 或 CrowdStrike）的組織，可以將端點(diǎn)安全事件發(fā)送到集中式 SIEM 解決方案，并與其他企業(yè)數(shù)據(jù)相關(guān)聯(lián)，以實(shí)現(xiàn)端到端威脅可視性。一旦 EDR 與 SIEM 進(jìn)行了緊密集成，便可以直接從 SIEM 界面啟動(dòng)響應(yīng)操作。最后，當(dāng)用戶登錄 虛擬專(zhuān)用網(wǎng)絡(luò) 或通過(guò)基于風(fēng)險(xiǎn)的身份驗(yàn)證訪問(wèn)應(yīng)用時(shí)，這些解決方案可以洞悉有關(guān)端點(diǎn)位置、MAC 地址、用戶代理以及其他有價(jià)值的信息，進(jìn)而提供這是否是真實(shí)用戶的洞察力。

一旦通過(guò)單個(gè)位置收集了這些寶貴的數(shù)據(jù)，安全團(tuán)隊(duì)便可運(yùn)用一系列機(jī)器學(xué)習(xí)和基于相關(guān)性的分析來(lái)檢測(cè)已知和未知威脅。對(duì)于安全運(yùn)營(yíng)團(tuán)隊(duì)而言，尋找可提供預(yù)構(gòu)建安全用例和分析的 SIEM 供應(yīng)商尤為有用，這樣他們就不必花費(fèi)時(shí)間和金錢(qián)從頭開(kāi)始研究和開(kāi)發(fā)這些產(chǎn)品。

應(yīng)用

應(yīng)用活動(dòng)的監(jiān)控應(yīng)是團(tuán)隊(duì)的主要重點(diǎn)，因?yàn)榕c監(jiān)控端點(diǎn)不同，組織即使在網(wǎng)絡(luò)之外也仍然可以控制應(yīng)用活動(dòng)。應(yīng)用監(jiān)控還有助于暴露網(wǎng)絡(luò)中已存在的攻擊者。應(yīng)用監(jiān)控可以在多個(gè)級(jí)別上執(zhí)行：

· 通過(guò)身份即服務(wù) (IDaaS) 解決方案（例如 Cloud Identity Connect 或 Okta 登錄時(shí)。

· 直接通過(guò) SAP、SalesForce.com 或 Office 365 等應(yīng)用登錄、注銷(xiāo)時(shí)。

· 通過(guò) Zscaler 等云訪問(wèn)安全代理 (CASB) 解決方案來(lái)監(jiān)控誰(shuí)正在訪問(wèn)或試圖訪問(wèn)哪些應(yīng)用。

· 直接在應(yīng)用堆棧內(nèi)，包括 OS 容器編排平臺(tái)（如 Kubernetes）、容器本身和這些環(huán)境中的 API 調(diào)用。

除了在每個(gè)級(jí)別上監(jiān)控和分析事件之外，網(wǎng)絡(luò)監(jiān)控還可以提供有關(guān)應(yīng)用數(shù)據(jù)如何在網(wǎng)絡(luò)中流動(dòng)、哪些人員和對(duì)象連接到了這些系統(tǒng)以及是否發(fā)現(xiàn)了異常流量的詳細(xì)洞察力。這一新增的洞察層可以增強(qiáng)現(xiàn)有的可視性和洞察力，幫助安全團(tuán)隊(duì)更快發(fā)現(xiàn)一些可疑活動(dòng)，例如受害帳戶和橫向移動(dòng)數(shù)據(jù)滲透嘗試等。此外，當(dāng)攻擊者獲得足夠的控制權(quán)，進(jìn)而成功地使用檢測(cè)規(guī)避技術(shù)（例如禁用日志記錄）時(shí)，網(wǎng)絡(luò)監(jiān)視可能會(huì)特別有用。作為高度可靠的事實(shí)來(lái)源，網(wǎng)絡(luò)數(shù)據(jù)可以顯示系統(tǒng)和應(yīng)用何時(shí)處于聯(lián)機(jī)狀態(tài)，即使它們沒(méi)有發(fā)送日志，也可以繼續(xù)提供針對(duì)這些系統(tǒng)和應(yīng)用運(yùn)行狀況的可視性。

云

由于許多物理數(shù)據(jù)中心暫時(shí)關(guān)閉，因此組織迫切需要將 IT 系統(tǒng)的現(xiàn)場(chǎng)物理維護(hù)需求降至最低。許多組織已迅速加速了云基礎(chǔ)架構(gòu)的采用，為其工作負(fù)載和應(yīng)用提供支持，以維持業(yè)務(wù)連續(xù)性。由于許多此類(lèi)遷移已經(jīng)進(jìn)行了規(guī)劃（通常只是按照隨后的時(shí)間表進(jìn)行），因此大多數(shù)安全團(tuán)隊(duì)都應(yīng)期望這些投資能夠繼續(xù)保持。

為了更早地了解這些環(huán)境中的風(fēng)險(xiǎn)和威脅，安全團(tuán)隊(duì)可以監(jiān)控一系列事件，包括用戶活動(dòng)、應(yīng)用活動(dòng)以及資源和配置更改。幸運(yùn)的是，主要的公有云供應(yīng)商（例如 AWS、IBM、Azure 和 Google Cloud））均提供了豐富的日志、事件和網(wǎng)絡(luò)流數(shù)據(jù)集，這些可引入到集中式 SIEM 解決方案之中，進(jìn)而實(shí)現(xiàn)內(nèi)部和多云環(huán)境中的可視性和檢測(cè)。

通過(guò)攝入此類(lèi)數(shù)據(jù)并對(duì)其運(yùn)用安全用例，分析人員可以獲得有關(guān)多種可疑活動(dòng)的洞察力，例如：

· 異常的用戶和帳戶活動(dòng)，例如異常的身份驗(yàn)證活動(dòng)、來(lái)自不同地理位置的多次登錄或可疑的根用戶活動(dòng)。

· 異常的工作負(fù)載活動(dòng)，包括異常的 API 調(diào)用、可疑的容器活動(dòng)或訪問(wèn)資源的非標(biāo)準(zhǔn)服務(wù)。

· 高風(fēng)險(xiǎn)配置更改，例如可疑的 IAM 或安全組策略更改、S3 存儲(chǔ)區(qū)策略更改或新證書(shū)或更改的證書(shū)。

· 可疑的資源更改，例如非標(biāo)準(zhǔn)的虛擬私有云 (VPC) 或 EC2 實(shí)例，或者 EC2 實(shí)例的數(shù)量或大小的快速增加。

盡管許多云提供商都可提供自己的原生安全功能，但其產(chǎn)品卻無(wú)法集中查看跨環(huán)境的安全數(shù)據(jù)，導(dǎo)致分析人員不得不在復(fù)雜的數(shù)據(jù)孤島中工作。如今，有 62% 的公有云采用者使用兩個(gè)或多個(gè)公有云；平均而言，每個(gè)組織使用 4.8 個(gè)獨(dú)立的公有云和私有云環(huán)境。對(duì)于疲于應(yīng)對(duì)不斷增長(zhǎng)的工作負(fù)載的分析師來(lái)說(shuō)，獲得集中式的云可視性以及在威脅通過(guò)不同環(huán)境時(shí)對(duì)其進(jìn)行自動(dòng)分析、檢測(cè)和跟蹤的能力至關(guān)重要。能夠跨云和內(nèi)部環(huán)境攝入和分析事件和流數(shù)據(jù)的集中式 SIEM 解決方案，可幫助分析師在威脅升級(jí)并造成嚴(yán)重?fù)p害之前快速、更有效地檢測(cè)威脅。

總結(jié)

由于正在快速轉(zhuǎn)移到遠(yuǎn)程工作模式，許多 IT 組織現(xiàn)在已經(jīng)部署了支持遠(yuǎn)程員工的技術(shù)。在過(guò)去的數(shù)月中，員工已經(jīng)證明他們居家辦公也可以保持較高的生產(chǎn)效率。隨著我們邁向新常態(tài)，即將發(fā)生的一項(xiàng)明顯變化就是更加靈活、對(duì)遠(yuǎn)程友好的工作策略。在此情況下，安全運(yùn)營(yíng)團(tuán)隊(duì)需要一種可持續(xù)的長(zhǎng)期戰(zhàn)略，以在具有新盲點(diǎn)且?guī)缀鯖](méi)有任何剩余外圍的網(wǎng)絡(luò)上保持可視性和威脅檢測(cè)。

通過(guò)加倍增加集中式安全分析，特別是網(wǎng)絡(luò)釣魚(yú)、端點(diǎn)、應(yīng)用和云安全用例，安全分析人員可以獲得新的洞察力，彌補(bǔ)丟失的可視性并最終幫助增強(qiáng)組織的安全態(tài)勢(shì)。在如今安全團(tuán)隊(duì)由于遠(yuǎn)程工作而精疲力盡的時(shí)代，組織可以考慮部署具備以下優(yōu)勢(shì)的 SIEM 解決方案：能夠在任何環(huán)境（包括 SaaS 或公有云）中運(yùn)行、能夠提供預(yù)構(gòu)建用例，讓檢測(cè)變得更輕松并提高總體價(jià)值，同時(shí)能夠提供與 SOAR 解決方案（如 Resilient）的緊密集成，進(jìn)而加快端到端威脅檢測(cè)、調(diào)查和響應(yīng)周期。

點(diǎn)擊了解更多IBM安全觀