很多企业在使用先进的日志管理和安全事件管理(SIEM)系统来满足严格的安全合规标准(例如PCI DSS),现在可能是有远见的企业考虑将监测层推广到应用程序层的最佳时机。部署了这些SIEM和日志管理系统,企业现在拥有了足够的系统来处理来自不同应用程序的数据,并将这些数据转换成对安全团队有意义的信息。
“PCI推动了日志管理领域的良好发展,这说明后端技术部署良好,”分析师Gunnar Peterson表示,“缺少的是前端技术,在前端实际上是传感器在收集事件信息。”
办法就在于找到合适的技术来充当传感器的角色,将数据传到SIEM系统,并开发一套完善的执行方法。
Peterson表示,诸如web应用防火墙和XML安全网关等技术应该在应用程序层活动方面发挥更重要的作用,这些应用程序层的活动一直是很多企业难以跟踪的部分。“这些技术可以发挥非常重要的作用,因为他们位于应用程序外部,所以安全团队不需要过多地参与应用程序创建过程,”他表示,“但同时能够提供一些在信息数据级别有用的信息。”
至于最佳做法,Peterson表示不同行业有不同最佳做法。下面我们总结了六个诀窍来帮助企业进行更有效的应用程序监控。
1. 调整数据流
企业在监控应用程序方面面临的最大问题之一就是挑战来自前端的数据流,使之既实用又易于管理。
“从监控的角度来看,我认为他们通常要么监控过多要么过少,”他表示,“这就像一门艺术,一种主观判断,每个人都会范错误,并且通常陷入过多或过少的泥沼中。诀窍在于尽可能地接近适中位置。”
2.不要依赖于端口号码
你不能指望端口号码来识别应用程序。诸如BitTorrent和Skype等应用程序可以隐藏在HTTP流量中,专门来躲避安全控制,“只是将端口88的流量归类为HTTP的监控解决方案可能会让企业受到互联网感染内容的攻击,特别是对于存在嵌入式恶意软件的盗版软件和媒体文件。”
3.利用将前端连接到后端的标准
“我认为在前端有很多工具和技术你可以用来收集数据,而在后端则有工具可以用来发布数据,”Peterson表示,“但是最难解决的问题是两者之间的问题。”
Peterson says that organizations need to leverage standards such as CEE, which is being pushed by Peterson表示,企业需要利用一些标准,例如CEE(Mitre和ArcSight推动的标准)或者XDAS(OpenGroup支持的标准)来帮助前端监控解决方案与后端日志管理系统进行“交谈”,使你能够对数据进行调整让它传到事件反应小组的手中。
4. 区分内容和应用程序
长期以来,社交网站都混淆内容和应用程序。很多网站(如Facebook)承载了成千上万的应用程序,而很多应用程序都对隐私和数据带来风险,并且让企业面临合规或者法律问题。
“为了解决这种威胁,应用程序监控解决方案需要能够识别和控制作为社交网站一部分的内容和应用程序。”
5.询问事件响应小组他们需要什么
谈到事件响应小组,如果他们主要是依赖于这些系统来完成工作的话,让他们参与这些工具的不糊是不是没有意义?很多企业都没有真正询问事件响应小组他们需要从这些系统中获取哪些数据来确定风险,而且这种需求通常都需要改变。
“开发人员和安全架构师需要与这些事件响应小组花更多时间来讨论他们所需要的数据类型,把他们当作业务用户,因为事实上他们确实是你的业务用户,”他表示,“他们应该会问,‘对于这些类型的事件,哪些数据能够帮助你完成你的工作?’”
6.使用实时web安全来补充应用程序监测
基于web的恶意软件变化太快,提供每日或者每周更新的传统防御措施很难更上其变化的不发。有了对新内容(包括恶意软件)的实时评级,web安全解决方案可以帮助提供对web流量更详细的信息。
