面对SIEM系统安全问题企业该如何选择

据专家介绍,部署着老旧的安全信息和事件管理(Security Information Event Management,以下简称SIEM)系统的企业正重新审视他们的硬件,有时候他们在想到底是用额外的工具来完善SIEM系统,还是完全替换成新的系统。

通信服务提供商MetroPCS Wireless公司的Gregg Woodcock发现,日志相关性分析是运营高效安全业务必不可少的一部分。

实际上,这位来自达拉斯的软件工程师发现了日志相关性分析的巨大价值。他成立并维护了一个位于达拉斯的用户群组,致力于完善免费、开源的搜索工具 Splunk.这款工具可以接收客户交易、网络活动、通话数据等多种类型的数据,并对它们作关联性分析,以发现有价值的情报。据Woodcock表示,这款工具非常受欢迎,虽然Splunk用户群组内的很多成员所在的企业都安装了安全信息和事件管理(SIEM)系统,但他们也希望把Splunk当作类似 Google的搜索框来加强SIEM.

MetroPCS使用Splunk来监控违反免费国际电话呼叫计划服务条款的用户。Woodcock表示,用户立即就能知道通话去向和费用。人们违反服务条款–将免费国际呼叫用于商业的行为很快就能从呼叫记录数据中被检测出来,并在费用失控之前切断通话。

"它的速度和提供信息的深度令人惊奇,"Woodcock说。"它本质上是Google你的日志;它实时接受日志并标出时间戳,然后你可以使用类似Unix的搜索命令集做任何事情。"

Splunk在2010年增加了对安全监控的支持。它也可以产生实时警报。Woodcock说,它正被成千上万的人用来增强已有SIEM系统,这一事实表明,很多早期部署的SIEM系统要么很难正确配置,要么很难给出有价值的情报。"有了Splunk,你可以输入所有数据,在上面采用只对你有用的特定模式进行排序和搜索,这就是一个巨变,"他说。"而其他很多产品,你必须作二次开发才能得到可用的数据模式。"

Bill Sielein是CISO Executive Network公司的CEO,他说,目前大部分SIEM系统只是用来满足合规和提供报告功能,而且很多系统还继续被部署来满足这最小用例。Sieglein最近参加了财富1000强企业CISO圆桌会议,内容包括日志管理和SIEM.他说很多CISO正在考虑是否要用更新的SIEM技术淘汰老旧的SIEM系统,以建立一个情报平台。

"几乎在每一个案例中,安装启用新系统所花的时间和经费都超过预想,"Sieglein说。"他们正努力更新继续许可证,以在风险管理和情境认识方面发掘更大价值。"

Sieglein说,早期的SIEM系统非常难于部署,在某些情况下要花费两到三年时间,还要耗费四分之三的经费用于协助部署的专业服务。今天,人们更多地考虑轻量级系统–来自McAfee(NitroSecurity)、IBM(Q1 Labs)以及LogRhythm的SIEM平台,这些系统承诺了更快的实现和更多易用的自动化功能。

他说,实际投入过SIEM的企业都体验过历程的艰辛。企业一旦希望审阅好日志,就不仅要雇佣大量员工从事事件监控,还要雇人管理系统以防止被数据淹没。系统必须要完全打好补丁,还需要一些明白如何编写专业报告的人,以实现系统的价值。

"很多人抱怨,从系统的角度看,SIEM 1.0需要太多管理人员,"Sieglein说。"它使资源不能集中于实时观察事件。"现在SIEM 2.0承诺了更快的实现、少得多的系统管理,使资源和时间能被集中用于分析警报类型并采取实际行动。"

Chris Petersen是LogRhythm公司的联合创始人和CTO,他也同意部署和维护早期的SIEM系统是一个恶梦,而且这些系统经常为了满足特定的合规要求而运行在一个糟糕的配置状态。

Petersen说,SIEM最初被设计用来处理入侵检测系统生成的大批量数据,将IDS数据裁减到可行的、更容易管理的规模。SIEM厂商不断增加来自网络层、设备层、应用层和数据库层的日志数据,使它越来越复杂。现在的焦点是更好地管理数据来源和自动化分析。"今天的目标是检测更广泛的来自内部威胁的事件类型、复杂的入侵、和深嵌型泄露,以更好地取证。SIEM厂商已经认识到寄望于企业手动分析日志是不可能的。

"这是个复杂的问题,从来没有完美的解决方案;"Petersen说。"我们今天有比以往更多的信息。如果我们能通过不同的技术手段正确地、创造性地分析它。我们将人工智能嵌入系统以指导客户着重调查,并有快速得到解决方案和行动步骤的深入经验。"

已故的着名网络安全专家Eugene Schultz在2009年就发出警告,SIEM厂商需要解决安装SIEM系统的复杂性。Schultz是SIEM技术优越性的铁杆信徒,他说"再优秀的技术也可能买不出去。"大部分SIEM产品在初装后需要数月时间调校,他写了一篇博文阐述为什么SIEM市场不能更上一层楼。"一款热销的的SIEM工具竟然要求使用网络上4台独立主机用于安装和维护,而且一些最基本的功能也需要遍历很多级别的菜单。排除SIEM工具的故障通常也并不容易,"他写道。

美国人口普查局信息安全技术办公室的助理司长Bill Bradd说,现在考虑广泛部署SIEM系统的企业需要有对SIEM产品实施稳定性测试和评估的能力。这不仅是技术上的投资,也要求系统维护和监控人员有足够高的素养。

从大约5年前为了遵从法规而采集近150个系统的信息,到现在作为一个更广阔的信息安全战略的一部分而采集超过2800台网络设备和服务器信息,美国人口普查局已经大大扩展了它的Sensage SIEM系统的能力。Bradd说,这意味着采购新硬件以处理大规模日志数据、与各种系统的管理员合作以将数据输入SIEM系统、组织一个开发团队负责编写脚本以接受和解析各种各样的系统日志。这个SIEM系统可以审记来自Unix、Linux服务器、Windows事件日志、网络防火墙、路由器、交换机等系统的日志数据。

"数据的体积始终是个问题,"Bradd说调校这个很麻烦,但人口普查局已经成功解决了。"如果你知道应用程序将产生特定的警报,那调校好这个并不难。"

Bradd说人口普查局也计划将警报发送给系统管理员,以便负责维护路由器和交换机的网络工程师可以调查一个警报,并在72小时内反馈这究竟是一个可在内部纠正的事件还是一个需要报告和仔细调查的严重安全问题。Bradd说,这个外置系统已经被用于查找配置错误问题、检测被恶意软件感染的机器、以及跟踪返回到用户访问站点的恶意代码。从服务器的角度看,人口普查局的系统通过监控独立的用户行为,可以判断是攻击者在暴力破解某位员工的账号,还是某位员工忘记了自己的密码。

"为了从工具中得到价值,你必须在人们身上投入时间、金钱、以及精力,"Bradd说道。

有迹象表明,厂商已经在较早版本中解决了部分问题。有一家加拿大的公司在2011年2月部署了更新的LogRhythm系统,过程相当顺利。这家名叫Cara Operations的公司运营了650个餐馆,其中大部分是直营和特许经营的。它部署了SIEM系统用于监控支付系统,以合乎PCI DSS规范。Cara公司的信息技术项目经理Rik Steven说,"我们知道它比PCI合规走得更远,但PCI是推动它前进的背后力量。"

这家公司使用可管理的安全服务提供商(managed security services provider,简称MSSP)来监控系统并处理警报。MSSP全天监控着系统,而Cara公司的一名IT专员则作为在内部监控系统的风险分析师。各家餐馆跨越5个时区,因此非常有必要使用这个MSSP,Steven说。

一个团队用了大约两个月铺开这个系统,在公司的各个地方部署了软件。Steven说,起初的几个月信息太多了,公司必须不断调校以"回拨"并只集中于合规内容。"它给出太多信息,你很容易就被淹没了,"Steven说。

Steven说,"他们计划加班扩展这个系统,以生成更多报告、使用更新的功能来主动解决已识别的问题。这已经是一笔巨大的投资,所以我们希望确保这钱花得值,"Steven说。"它可以告诉我们一大堆的信息,但我们只是获得了它从基本报告中产生的粗浅信息。"