中型企業成為網絡犯罪份子的目標的個案有上升趨勢,因為既有一定能力支付贖金,又大部份都欠缺合適的網絡安全部署,於是黑客便利用策略繞過公司的基本防護,輕而易舉地入侵公司的網絡,而較有成本效益的應對方法就是SIEM。
層級防護
一家企業的長遠目標是建立層級防護,透過不同工具和控制措施互相補足,大幅增加攻擊公司的複雜程度,並且限制攻擊者的選擇,一家500至3000名員工的公司基乎肯定具備基本的工具和初始防護層級:透過憑證和授權限制存取、endpoint protection、包括電郵伺服器的伺服器防護以及防火牆,而下一步則是補充更先進的網絡安全工具而不是取代:
- 安全事件綜合監控與關聯系統,從電腦、伺服器和應用程式即時從整個架構中收集不同數據。
- 獲取疑似事故或可疑活動及異常的強化資訊工具
- 事故應變工具,從依照監管要求進行調查,至隔離受感染主機和帳號,消除漏洞等等。
- 進階身份管理工具,從中央化用戶管理和以身份為基礎的存取控制,至擁有多重認證的單一驗證門戶。
- 增加IT資產透明度和管理能力、攻擊面管理和補丁管理的工具。
同時引入以上防護似乎不太可能實現,所以確定優先次序分階段進行則比較貼近現實環境,也意味著全面監控構成了很多其他資安工具的基礎,所以SIEM (Security Information and Event Management)應該排第首位,為配備者提供全新的能力,包括偵測無惡意程式的攻擊活動、發現可疑物件和行為,以及可視化把基礎設施事件排序,正確使用SIEM可減輕資安團隊的工作量,使他們無需花時間手動處理隔離事件、紀錄和其他事項。
甚麼是SIEM?
SIEM方案作為全面IT監控公司基礎架構工具已經20年,這些方案由很多元件組成,用來收集、存亯、組織和分析telemetry,並容許對傳入事件作出反應,通過SIEM資安員工在單一控制台能接收大量警報,簡單把不同事件(例如檔案創建、網絡活動和帳號登入)連結到單一個體,而無需從5個不同資料來源中發掘,再及時作出反應,高度自動化為資安團隊節省不少時間。
中型企業的重要SIEM元件
SIEM系統之間架構可能有所不同,但重要元素通常都相同:
- 事件來源:它們不是SIEM的一部份,但它們是資料提供者,任何運作時產生紀錄者(無論是操作系統、EDR agent、商用應用程式或網絡裝置)都能成為來源。
- 收集器:通常是分離的服務,用來從telemetry來源收集紀錄以在SIEM中處理。
- 紀錄規範器和儲存:SIEM平台核心的元素,規範器轉換和調整從收集器獲得的紀錄,令它們適合使用、搜尋和分析,中央資料儲存顯著簡化事故的偵測和調查,以及向監管機構提供事故資料。
- 事件關聯是SIEM系統的心臟,把不同紀錄中不正常事件進行關聯,相同或單一活動在相同或不同階段有關聯則進行合併,並排列優先次序,優先次序由threat intelligence所驅動,可以作為編寫規則的基礎,不會每次PowerShell腳本運行時通知資安團隊,但如果腳本具有目標攻擊特徵的指令時,則會發出警報。
- 儀表板和警報是統視覺但重要的部份,有助理解大量數據,簡化搜尋資料,快速深入瞭解事件,及時瞭解事故或可疑事件。
資料來源:Kaspersky Blog