大数据正在面临着信息安全问题。这种情况驱使安全经理带着批判的眼光看待现有的技术投资,特别是像安全信息管理系统(SIM)这样的数据采集点,以便判断它们是否能有助于实时安全分析事件数据。
企业需要尽可能实时知道在网络中发生了什么事情。然而专家们一致认为在当前时刻实时分析不太可能,特别是对于SIM产品来说。对于“实时分析”真正意味着什么、 SIM产品和其它分析技术能做什么、以及要实时观察并对安全事件做出响应需要的资源这些问题,安全团队应该调整他们的期望值。
“这有些雄心勃勃,特别是对于SIM产品来说。因为事件必须恰好被记录下来,发到SIM产品或者日志管理产品的归并组件、然后通过规则引擎运行”,位于新罕布什尔州的Security Curve咨询公司的创建人Diana Kelley谈到。“所有这一切要花费时间,并且它不是实时的。你不是像IPS或是下一代防火墙那样观察在线流量。比起事件通过日志管理系统、解析数据、然后被发到运行关联规则的SIM来说,那更加接近于实时”。
对于SIM产品来说可操作的信息一直是遥远美丽而又很难实现的美景,找到有价值的信息通常让步于令人困扰的规则编写和集成练习。SIM产品的规则编写可能是艰辛的任务,因为像所有基于签名技术的防御措施一样、安全团队需要明白他们寻找什么以便建立正确的告警阈值。
“如果阈值设置太高的话,你无法足够迅速地收到告警,”Kelley谈到。“如果设置太低的话,SIM产品的告警数量会把你击垮。弄清楚这些阈值设置为多少使得编写规则是如此错综复杂。日志管理产品或是SIM产品用于取证分析可能更佳——这就像大海捞针。但如果你不知道从哪里开始,那就真成问题了。”
最终的结果经常是人们对产品感到灰心,有时候公司以关闭产品的分析功能告终,只留下合规和报表工具。在某些情况下可能要花费六倍于购买的费用来安装和维护。然而,最大化地发挥SIM产品可能不再是一件奢侈的事情了。不仅是规章制度要求日志分析和报表工具,而且以极具价值的政府、制造业和金融为目标的针对性强、持续的攻击可能为最大化SIM产品投资注入新的活力。
扩展安全信息管理系统能力 用于实时安全分析
Robert Capps是在线票券交易平台StubHub公司的信任和安全高级经理,他将公司的SIM产品与监控诈骗侦测功能的技术相融合。该诈骗侦测技术来自于 Silver Tail Systems公司,其对比正常的流量基线来寻找用户与站点进行交互时产生的异常现象。他例举了SIM产品和其它网络安全设备无法找出攻击者滥用 StubHub公司提供的合法服务。例如入侵防御系统(IPS)只能看到合法的网络流量,尽管SIM产品记录了攻击者为了诈骗创建的合法帐户,并成功登录。
Capps说他认为除了没有足够的数据支持以外,IPS、SIM和其它分析工具无法有效地分析安全事件。通过采用实时分析的方法,他表示能够辨识问题并且改进公司的安全响应而无需改变用户体验。
“如果有人试图攻击防火墙时IPS是不错的,但它不擅长于辨识那些从正常流量混进来的坏演员,特别是如果他们像每个人一样使用Web应用”,Capps谈到。“我宁愿有一个工具能说,‘这个看起来很奇怪并且不符合我的业务流’。这才是我需要辨识零日攻击的方向”。