棱镜门等事件揭示的NSA对我国的攻击手段,目前的手段难以有效识别发现,亟需对现有安全体系进行升级。
(一)关于SIEM的说明
SIEM的描述性定义:
- SIM:日志管理与合规报表;
- SEM:对来自网络设备、安全设备、系统和应用的安全事件进行实时监控与突发事件管理。
SIEM安全监控数据源包括内部的事件数据和场景信息。即
- 内部的数据包括网络设备、应用、数据库等日志信息 也包括安全设备的相关告警信息。
- context(场景信息):包括威胁情报、漏洞信息、用户、数据、资产相关的信息。
-
其中的context(场景信息)专门有图如下做说明:
- 外部的威胁情报:威胁情报一直是个热点,一般包括信誉情报(“坏”的IP地址、URL、域名等,比如C2服务器相关信息)、攻击情报(攻击源、攻击工具、利用的漏洞、该采取的方式等)等。
- 企业内部的情境信息:用户(identity)、应用(包括的自建的、外包的、云形态的应用)、数据相关信息、漏洞信息等。
-
(二)、传统的审计(监控)系统主要存在两个问题
- 1、数据源不完备或数据源不准确,致使审计系统的上层分析无法有效分析出结果。
- 2、未能从业务安全场景角度进行回溯分析,致使无法有针对性的分析数据,一堆原始数据无法得到有价值的结果。
-
(三)、应对1:自下而上:数据源的趋完备性
审计或监控系统,不仅对传统的安全日志进行收集处理、更可将收集的范围扩充至业务数据、运维数据甚至用户数据,涉及的对象包括日志、流量、内容、系统状态等,审计的范围、系统功能可得到极大的扩充。
根据实际情况,还有更多视野的数据要纳入到数据源中。SIEM完全可以脱离安全范畴发挥更大的业务分析价值,比如防范业务欺诈等。
(四)、应对2:自上而下:业务需求驱动
从业务角度来分析到底哪些为高危风险,从电信运营商行业看一般涉及的有恶意订购、垃圾短信、客户位置信息泄露、恶意充值、信息违规篡改等业务类事件,通过业务的视角结合实际的应用和系统场景,确定相关的审计要素。
这里有两个思路,
4.1思路(1):根据业务风险场景,找到一些具体的异常监控点进行专门的信息采集、分析、告警等。如下图的思路:
4.2 思路(2):另一种思路就是分析用户的业务行为,并通过分析行为找出异常的行为。这里还只是初步的想法,基于用户业务行为的分析是很好的找出业务层面违规的一种方法。比如防范业务欺诈等一定是需要通过行为分析的方法。
(五)未来安全事件管理系统7个趋势,用gartner一张图作为结束:
- 1.客户端事件收集;
- 2.SIEM和APT、DLP、DAP以及防舞弊的集成
- 3.与应用系统的深层互动
- 4.多渠道访问
- 5.深层分析、高度可视化
- 6.引入外部数据
- 7.告警和案件管理与调查