2024-01-14 分類: 網(wǎng)站建設(shè)
數(shù)據(jù)安全對于大多數(shù)組織來說是一個持續(xù)的挑戰(zhàn),但利用您的 IT 管理數(shù)據(jù)可以使其變得更容易。數(shù)據(jù)安全改進可能是一項昂貴的必需品,但有一些方法可以使用您的網(wǎng)絡(luò)和系統(tǒng)管理數(shù)據(jù)免費進行這些改進。雖然您的網(wǎng)絡(luò)和系統(tǒng)管理平臺無法取代您的 SIEM 或 IDS,但進行這些改進可以通過多種有價值的方式提高您的效率。
由于軟件的不同專業(yè)化,基于管理數(shù)據(jù)的安全性具有許多安全平臺以廉價或易于訪問的方式缺乏的優(yōu)勢。 下面討論的一些好處也可能與 IDS 一起使用,但沒有人讓他們的 IDS 在其環(huán)境中的每個端口上運行。 使用現(xiàn)有工具而不是新工具可以減輕勞動力負擔,從而節(jié)省培訓、維護和管理費用的時間和金錢。 此外,將安全功能集成到您的整體 IT 管理平臺可以大大提高您指揮中心的整體安全意識。這還可以通過提高跨多個團隊的可見性來減少響應(yīng)安全事件所需的時間。提高數(shù)據(jù)安全性的 5 種方法
1. 觀察網(wǎng)絡(luò)流量是否有異常行為
如果您監(jiān)控到我們始終建議的單個交換機端口級別,您將擁有非常精細的數(shù)據(jù),可用于發(fā)現(xiàn)行為變化。
流量突然激增可能是發(fā)現(xiàn)受感染系統(tǒng)或開始執(zhí)行網(wǎng)絡(luò)掃描或其他類型偵察的系統(tǒng)的簡單方法。為確保您不會遺漏任何內(nèi)容,您還要監(jiān)控接入交換機端口。這使您可以密切關(guān)注最終用戶系統(tǒng),而無需在每個系統(tǒng)上安裝端點監(jiān)控軟件的開銷和麻煩。此外,如果入侵者可以禁用或規(guī)避端點監(jiān)控,這甚至可以幫助發(fā)現(xiàn)端點監(jiān)控可能遺漏的問題。
從交換機的角度尋找入站流量的突然峰值是查找此類流量來源的好方法,您甚至可以跨多個交換機、路由器和防火墻對其進行跟蹤。
總體流量水平的長期變化,或后臺流量水平的大幅躍升,都清楚地表明系統(tǒng)現(xiàn)在正在以不同的方式使用。因此,問題就變成了這種行為變化是否可以解釋。我們有一個客戶使用這種方法發(fā)現(xiàn)一名 IT 工作人員已經(jīng)開始將他們的數(shù)據(jù)庫備份到他的本地硬盤驅(qū)動器上。您可以更好地相信他們與他就正確的備份過程和數(shù)據(jù)安全性進行了很好的交談。
為了發(fā)現(xiàn)這種不尋常的行為,您需要有一種方法來發(fā)現(xiàn)它,而無需不斷生成手動基線。畢竟,一個月中特定日期的流量激增對于系統(tǒng)來說可能是完全正常的。使用我們的異常檢測技術(shù)解決了這個問題。
為這些數(shù)據(jù)保留了大量的高分辨率遙測和統(tǒng)計數(shù)據(jù),用于自動生成基線行為模型。然后,我們將當前行為與一天中的某個時間、一周中的某天或其他基于時間的測量的正常行為進行比較。您可以將靈敏度設(shè)置為高、中或低,具體取決于您的容差和環(huán)境,以及該統(tǒng)計數(shù)據(jù)的通常范圍,以微調(diào)過程。您還可以按需手動運行此數(shù)據(jù)。
然后,該信息用于檢測何時發(fā)生異常情況,我們可以將其標記為異常,然后可以生成警報或報告。這使您可以發(fā)現(xiàn)這些意外行為,并收到有關(guān)它們的通知或?qū)⑺鼈兺扑偷侥?SIEM 進行分析。
您還想觀察設(shè)備之間發(fā)生的情況。除了查找整體帶寬的異常之外,您還可以使用這些數(shù)據(jù)來監(jiān)控網(wǎng)絡(luò)層結(jié)構(gòu),例如服務(wù)質(zhì)量 (QoS) 和 VRF 實例。這擴展了您的可見性,以查找諸如 QoS 錯誤配置之類的問題,您將流量發(fā)送到錯誤的隊列中。它還允許您查找通過錯誤 VRF 發(fā)送的流量;即使它不是主動入侵,也可能是一個安全問題,并為我們提供了另一個尋找異常流量的地方,特別是如果它來自許多不同的來源。
2. 利用過程級別的異常檢測技術(shù)
要監(jiān)控的明顯數(shù)據(jù)點之一是正在運行的進程或新運行進程的總數(shù)。系統(tǒng)上出現(xiàn)新進程時立即收到通知可能是一個很好的指標,表明需要進行一些調(diào)查。如果您當前的 IDS/IPS 沒有擴展到服務(wù)器操作系統(tǒng)級別,則尤其如此,這是很多公司無法承受的。同樣重要的是要考慮并非所有 IDS 系統(tǒng)都會標記它,例如當服務(wù)器突然開始運行瀏覽器或安裝程序時。
您還應(yīng)該注意現(xiàn)有進程的 CPU 或內(nèi)存使用情況的突然變化。無論如何,出于性能原因,這通常是一個好主意。然而,如果 SQL CPU 使用率出現(xiàn)超過一天中正常時間的峰值,則可能表明未經(jīng)授權(quán)的登錄嘗試激增。您還可以觀察其他類型的進程行為,例如數(shù)據(jù)庫查詢或鎖定的數(shù)量或登錄用戶的數(shù)量,因為異?;顒右部赡苁悄胍{(diào)查的潛在安全問題。
3. 監(jiān)控日志異常
雖然這樣做通常是您的 SIEM 的領(lǐng)域,但您可以在這里做一些事情,這可能有助于使用異常檢測來補充這一點。 觀察每一條可能的日志消息——并試圖標記那些可能意味著問題的消息——通常太吵了,而且很難做好。此外,防火墻日志可能已由 SIEM 處理。因此,您觀察它們的方式是通過在日志中查找統(tǒng)計異常等操作。
生成的日志總量突然激增可能表明各種事情,包括安全問題、暴力攻擊,甚至只是導(dǎo)致問題的軟件錯誤。由于您正在查看日志消息的數(shù)量和類型,這為您提供了一個有趣的視角來尋找異常行為。當然,您仍然可以自己鉆取日志消息,以便在系統(tǒng)標記異常后進行故障排除或取證。您還可以創(chuàng)建規(guī)則來過濾您正在監(jiān)視的日志消息。例如,如果您只想計算登錄失敗消息,您也可以輕松地做到這一點。
您可以創(chuàng)建靜態(tài)閾值來發(fā)現(xiàn)事情何時完全偏離軌道,但異常更容易使用。如果應(yīng)用程序在每個星期一早上都有大量的登錄高峰,但在星期五幾乎沒有,那么當星期五由于憑據(jù)受損而突然出現(xiàn)高峰時,創(chuàng)建靜態(tài)警報就不會很好地工作。
4. 使用配置管理數(shù)據(jù)確保安全
這似乎是一個顯而易見的問題,但即使您已經(jīng)在使用配置管理數(shù)據(jù),也有一些關(guān)鍵點可以確保它是安全過程的一部分。要問的第一個問題是這些變更警報的去向。是網(wǎng)絡(luò)團隊,還是安全團隊,還是兩者兼而有之?變更管理數(shù)據(jù)呢?
這對于觀察防火墻配置的變化尤其重要。這聽起來很明顯,但您會驚訝于這種情況發(fā)生的頻率。有時只是因為安全團隊和網(wǎng)絡(luò)團隊溝通不暢。但是讓每個人都知道設(shè)備配置何時以及發(fā)生了什么變化可以節(jié)省大量的故障排除時間。請?zhí)貏e注意這些配置更改警報何時發(fā)生。您是否有預(yù)定義和批準的變更窗口?您可能需要特別注意從這些窗戶外進來的任何東西。
您還應(yīng)該確保已將這些警報與您的 SIEM 或票務(wù)系統(tǒng)集成。最重要的是,確保每次收到配置更改警報時,都會根據(jù)您的更改控制流程對其進行審核和審查,以便您知道不會對您的基礎(chǔ)架構(gòu)或防火墻進行未經(jīng)批準的更改。
5. 觀察交通流量數(shù)據(jù)
您可以使用 Netflow 或 IPFIX 等基礎(chǔ)設(shè)施設(shè)備中已內(nèi)置的技術(shù)來收集有關(guān)網(wǎng)絡(luò)上誰在與誰通話以及正在使用哪些協(xié)議的信息。觀察網(wǎng)絡(luò)上突然出現(xiàn)的新協(xié)議是了解環(huán)境中正在發(fā)生的事情的好方法。但是,這在較大的環(huán)境中可能會有些棘手。例如,您可能有團隊幾乎不斷地部署新應(yīng)用程序,如果您沒有良好的變更控制溝通,您可能并不總是知道新應(yīng)用程序何時上線。
最容易尋找的事情之一是控制類型流量的峰值,因為這些絕對是出現(xiàn)問題的危險信號。這可能是路由更新、ICMP 流量、DNS 請求的突然激增,甚至是 VPN 流量的意外激增。也許遠程工作人員正在下載數(shù)據(jù)以離線工作,或者他正在復(fù)制客戶數(shù)據(jù)庫以出售給競爭對手——無論哪種方式,都值得研究。
監(jiān)控您的應(yīng)用程序響應(yīng)時間
監(jiān)控您的應(yīng)用程序響應(yīng)時間起初似乎沒有安全隱患,但它絕對可以。蠻力攻擊或 DDoS 攻擊可能會導(dǎo)致您的應(yīng)用程序變慢,并且此數(shù)據(jù)可以與其他服務(wù)器性能指標相關(guān)聯(lián),以查看流量??是否合法。
這對于云托管系統(tǒng)尤其重要,因為我們可能無法深入訪問服務(wù)器級信息。在許多托管環(huán)境中,您可能根本沒有操作系統(tǒng)可見性,因此管理頂層性能是您必須使用的唯一真實指標,具體取決于您的應(yīng)用程序的檢測方式。
云提供商通常會構(gòu)建某種級別的 DDoS 保護,但很少提供針對暴力破解或密碼重放式攻擊的任何保護。因此,您無法控制——或者在大多數(shù)情況下,甚至無法看到——所有進出系統(tǒng)的流量。一個簡單的方法是使用異常檢測來觀察響應(yīng)時間的突然變化。這也可以是一個很好的性能數(shù)據(jù)管理工具。
看大圖
一旦您擁有所有這些出色的數(shù)據(jù),您需要確保您正在共享它。通過向價值流中的每個人提供數(shù)據(jù),每個人都對現(xiàn)實有共同的看法,這有助于溝通,并展示透明度,從而增強信任。成功的一個關(guān)鍵是讓訪問信息變得容易和快速。團隊不會覺得他們需要有自己的監(jiān)控,這會產(chǎn)生大量的警報噪音和多余的工作,以及產(chǎn)生管理、支持和維護支出問題。
如果受眾是非技術(shù)人員(并且總是有一些非技術(shù)人員需要參與其中),請不要猶豫,將數(shù)據(jù)簡化或抽象為更易于理解的格式。一種方法是使用我們的業(yè)務(wù)工作流視圖,它允許您將整個應(yīng)用程序及其所有組件部分滾動到一個百分比分數(shù)中。共享此數(shù)據(jù)可以采用多種形式,具體取決于適合您的環(huán)境的方式。API、公共共享頁面或內(nèi)網(wǎng)頁面、未經(jīng)身份驗證的狀態(tài)頁面和信息輻射器。
信息輻射器只是設(shè)計用于在公共區(qū)域顯示重要狀態(tài)信息的系統(tǒng)。例如,每個人都經(jīng)過的走廊墻上的監(jiān)視器。團隊可以根據(jù)受眾顯示應(yīng)用程序視圖或更多技術(shù)視圖。這使您可以讓所有團隊保持同步,不僅是狀態(tài)數(shù)據(jù),還有有用的操作指標,如響應(yīng)時間或事務(wù)速度。
使用信息輻射器還可以讓我們積極展示核心價值觀,例如團隊對訪問者(客戶、利益相關(guān)者等)沒有什么可隱瞞的,對自己也沒有什么可隱瞞的。它承認并面對問題。
與 SIEM 工具集成
我們討論的其中一件事是將所有這些數(shù)據(jù)與您的 SIEM 集成,并將安全警報滾動到您的儀表板中。對于來自 SIEM 的入站警報,這很容易。有一個非常簡單的 API,可以讓您的其他系統(tǒng)將警報直接“推送”到我們的平臺,然后您可以在自定義儀表板和視圖上顯示。這也可以集成到您的所有指揮中心操作中。
對于集成出站消息,例如配置更改警報或異常警報,您有許多不同的選擇。您可以使用 webhook、JSON,甚至是電子郵件消息、Syslog 或 SNMP 陷阱,如果您的平臺能夠支持的話。
我們提供了一種編輯這些消息格式的簡單方法,因此您可以確保將它們定制為您的 SIEM 可以輕松處理和解析的格式。您還可以在這些消息中包含各種信息;包括文檔信息,如序列號、資產(chǎn)標簽、運行手冊信息或現(xiàn)場負責聯(lián)系信息。
新聞標題:提高數(shù)據(jù)安全性的5種方法
URL網(wǎng)址:http://jinyejixie.com/news8/313508.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站改版、App設(shè)計、響應(yīng)式網(wǎng)站、自適應(yīng)網(wǎng)站、網(wǎng)站建設(shè)、微信小程序
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容