甲方安全建设:信息安全与事件管理实施(连载2)

 

传送门:https://www.anquanke.com/post/id/222554

终端安全

大多数SIEM系统可以监视终端是否安全,以集中验证系统“健康”的安全性。许多SIEM系统可以监视PC或服务器上的防火墙是否正在运行,并且可以识别防病毒软件定义的最后更新时间以及确认当其节点受到间谍软件感染的时间。一些SIEM系统甚至可以管理终端安全,对远程系统上节点的安全性进行调整和改进,例如配置防火墙以及更新和监视系统内节点上的防病毒软件、反间谍软件和反垃圾邮件产品。此外,一些SIEM系统可以下载并安装更新,或者在主动处置模式下在配置错误的个人防火墙上调整ACL。

 

SIEM产品背后的市场推动力

在经济不景气的情况下,SIEM产品的市场份额仍在快速增长。如果您在IT行业工作,您可能会发现自己需要对SIEM系统的规范、选择、实现、监视和维护方面负责。由于这项技术在市场上相对较新,而市面上的出版物主要描述的内容通常为单一产品。本书将讨论SIEM系统的各个组成部分,以及满足SIEM系统一个或多个目标的产品和应用程序,呈现多个功能齐全的SIEM系统。

以下各章将讨论SIEM组件及系统的工作方式和内部原理。这些章节不仅描述SIEM的优点和缺点,还会列举一些实施问题上面临的困难,并对这些困难予以指导。本章最后将提供先进的技术建议,并提高这些不同组件应用程序和全功能SIEM系统分析的准确性和清晰度。

我们可以把SIEM系统形容为一个需要被理解和配置的野兽,但它确实是IT和安全专业人员应该关注的新兴技术之一。许多公司和政府部门现在选择使用这些工具来帮助他们管理和保障其IT系统的顺利运行。但事实上许多公司是被迫使用SIEM系统以此满足安全合规的要求,这样他们就可以避免政府或市场施加的罚款和处罚,并继续经营下去。

而那些需要SIEM系统提供的服务的公司,却负担不起完整的SIEM系统,或它需要有经验的员工来使用、维护和运营系统。好消息是,在这种情况下,有更小型的、更便宜的、独立的工具,可以拼凑在一起,以满足SIEM系统的许多功能需求。

如何正确地指定一个SIEM工具来同时满足不同企业的需求是一个令人生畏的挑战。而且你会发现随着时间的推移,这不仅是选择供应商和产品的问题,工具使用和管理的难度也会增加。本书专门为以下企业提供与SIEM相关的指导和解决方案:

中小型企业、区域和部门 大型企业和部门 政府部门

此外,本书将向您展示如何使用SIEM工具来发展商业智能(business intelligence)——而不仅仅是一个花哨的IT安全或操作工具。如果部署得当,SIEM可以提供超越人能力的全面IT系统视觉聚合和关联分析能力,以及比人类速度更快、更准确的识别和鉴定。

 

回到投资

当然,这些功能集成和复杂的SIEM系统并不便宜。当您向管理层提出向环境中添加SIEM的建议时,管理层可能会要求您计算“投资回报率”(ROI)。不幸的是,SIEM更倾向于“避免成本”,而不是产生投资回报。因为SIEM更倾向于提供一个更完整的IT运营视角,保护公司内宝贵信息资产的安全,通过这些手段计算公司使用SIEM后将减少损失的数额。当面临计算一个合理的SIEM系统成本价格时,您必须确定这些可避免的成本(损失),并证明用SIEM可以消除部分或全部成本,这些部分或成本的价值通常会超过并抵消SIEM本身的价格:

首先,使用SIEM的时候,它的监控、告警、分析、关联和报告功能都是自动化的。这些过程通常由SIEM执行,而不是由公司内部自主研发系统执行。如果没有SIEM系统,这些过程只能靠人工执行。而有了SIEM,您将在更少的时间内完成更重要的、满足合规要求的、与安全相关的工作。

其次,在您的公司必须遵守安全合规的要求下,SIEM系统可以帮助您识别和纠正不合规的系统和流程,并帮助您避免因违规带来的与合规相关的罚款和处罚。

最后,也许最重要的是,拥有和使用SIEM系统可以显著减少公司的攻击面。这与SIEM提供更快的识别、警报和响应能力相结合有关,它有助于降低公司存在安全疏漏的可能性,并将安全漏洞或其他危害类型事件期间可能发生的潜在损失降至最低。

 

所以这本书讲述什么呢?

这本书的内容主要分成三个部分。这三个部分后面是附录。

第一部分——SIEM简介:IT系统的威胁情报

本书的第一部分将向您介绍各种类型的业务模型,每种模型都有稍微不同的需求集合和安全问题,这些不同的需求集如何由SIEM系统中的组件来解决。您将研究不同的IT威胁模型、它们的攻击机制,了解信息资产损失是如何在IT系统中有意或无意地发生的。接下来,您将了解典型攻击的不同阶段,并学会识别正在进行的攻击有哪些迹象。这部分的内容会告诉您您应该在何处以及如何调整SIEM系统以便快速识别攻击。第一部分还介绍了与安全相关的法律和合规要求,着重于了解IT系统内安全需求的性质和了解可能会对系统产生负面影响的各种威胁。

第二部分——使用SIEM系统获得威胁情报

在第二部分中,您将研究SIEM系统的各种功能,并将了解一些可以帮助您使用这些分散功能的产品和应用程序。这些解决方案更适合被中小型企业和部门采纳。因为一个功能齐全的SIEM系统对于许多公司来说太贵了,而且对于许多公司来说,维护起来又太复杂,因此这些公司更需要的是能满足他们最大程度上保障他们安全的部分关键SIEM产品。

从SIEM确认一个安全事件到这起事件需要引起安全分析工程师的的注意是需要一个响应的过程。考虑到这一点,第二部分继续研究事件响应的细节以及如何在响应中使用SIEM。您还需要考虑在事件自动响应过程中使用SIEM的好处和潜在风险。

最后,在第二部分中,您将探索使用SIEM系统由内向外扩展到公共领域的可能性,以发现专业、商业甚至政治信息、趋势,并最终可能让您比任何竞争对手提早得到结论性情报。

第三部分——SIEM工具

在第三部分中,您将了解SIEM行业中四种领先产品的实现过程,它们先进的配置和分析技术:

开放系统安全信息管理(OSSIM),最近重组为AlienVault LLC, US and AlienVault Europe

Cisco Systems提供的思科安全——监控、分析和响应系统,又名CS-MARS,

Q1 实验室的QRader

ArcSight公司的ArcSight企业安全管理(ESM)

这些产品之所以之所以上升到市场的前列,都有其独特的优势,并实现了类似的实施空间,但每一种产品都有显著的技术差异。这些产品凭借的独特的优势满足相似的使用场景,他们所使用的技术又各有千秋,以此长期占据市场排名前茅。第三部分将探讨这些技术上的独特性,它们的的概念以及使用的专业术语。

即使您没有使用这些特定的产品,我们也鼓励您阅读并尝试理解这部分内容。

虽然为实现某一产品的特定目标而提出的技术可能与您想象的产品不同,对概念和目标本身的理解可能与您的环境相关,一旦为您的SIEM系统定义了正确的程序,您可能会发现系统的效率和效用都被提高了。

安全分析的方式和方法

本附录首先介绍了如何培养你的思维方式和技能,以达到成为一名安全分析师的目标。本附录描述了包括对安全分析师所需的典型背景、专业研究领域、性格特征、安全分析师在公司中的角色概述,以及一些通常作为安全分析师简历组成部分的常见技术认证。以及一些在安全分析师简历上常见的技术认证。

接下来是几个案例,演示了安全分析员在处理各种升级为安全事件的安全事件时所使用SIEM系统,以及分析员如何使用SIEM系统来帮助响应事件过程。

 

您能从这本书中得到什么

了解这个复杂而强大的安全系统将使您成为IT运营部门和IT安全部门中更具价值的成员。正确部署、优化和监控的SIEM系统将有助于您和您的公司更好地了解IT系统,了解公司的安全状态,帮助您进行日志管理、监视、审核和报告以实现安全合规的要求,谨慎地降低IT系统的风险,以及在可能发生安全疏漏时将损失降至最低。

无论您是计划使用SIEM系统,还是已经在使用SIEM系统,在中小型或大型企业、部门或政府机构中,或者您正在学习以扩展您的专业视野和开辟新的职业道路上,这本书可以提供有价值的见解和技能,使您和您的公司受益。

(完)