更好地利用日志來提高安全性和員工滿意度

提高企業(yè)安全性的“秘密成分”就在您的鼻子底下:更好地利用硬件和軟件每天生成的日志。

這是供應(yīng)商Dome9 security的安全研究主管Shira Shamban的觀點(diǎn)，Dome9 security提供云可見性解決方案，該方案于周二在多倫多的年度行業(yè)會(huì)議上提出。

“這是我們最重要的安全工具?！?/p>

事實(shí)上，這對(duì)供應(yīng)商來說是不尋常的。沙姆班說，硬件和軟件產(chǎn)品的制造商正在把infosec專業(yè)人士趕出這個(gè)行業(yè)，因?yàn)殇N售的東西并不能讓組織更安全。

她抱怨道:“我們?cè)谂c攻擊者的競(jìng)爭(zhēng)中失敗了?！薄?016年，一般的企業(yè)在其網(wǎng)絡(luò)上安裝了70多個(gè)安全解決方案。但五分之四的安全專家認(rèn)為，他們的組織將被攻破。

“為什么我們一直在安裝更多的安全解決方案?””她問道?！八麄儧]有給我們帶來我們所追求的自信和安全感。我們做錯(cuò)了。”

每個(gè)組織，無論規(guī)模大小，都需要安全的IT，公司預(yù)算通常證明了這種需要。在處理…

Windows的錯(cuò)誤報(bào)告每天都會(huì)從系統(tǒng)中跳出來，但通常會(huì)被大多數(shù)組織忽略。但是一個(gè)安全供應(yīng)商說…

Shamban說，SOC分析師的平均水平受到警報(bào)和儀表板的狂轟濫炸。他們不會(huì)幫它完成工作?！巴Ｖ官?gòu)買那些不能幫助我們更好地做好安全工作的產(chǎn)品，”她要求經(jīng)理們。她說，分析師一兩年后離開也就不足為奇了?！皩?duì)他們的所作所為感到非常、非常不滿意，這在一定程度上是我們的錯(cuò)，因?yàn)槲覀儧]有給他們配備正確的工具……我們沒有幫助他們……”我們讓他們的生活更悲慘。他們沒有成就感，他們只是討厭它?！?/p>

沙姆班說，雖然日志中有大量需要利用的事件信息，但她從信息安全專家那里聽到了很多被忽視的理由:“我有殺毒軟件?！拔蚁胛野阉械娜罩径加浵聛砹恕！薄拔抑皇褂媚J(rèn)配置。”

然而，她指出，80%的安全問題會(huì)重復(fù)出現(xiàn)，這就是為什么日志分析如此重要?！拔覀冃枰粍谟酪莸亟鉀Q這80%的問題，這樣，剩下的時(shí)間里，安全工程師們就能做真正酷、有趣、復(fù)雜的事情?！?/p>

“日志讓我們看到我們沒有意識(shí)到的盲點(diǎn)……

首先，Shamban說，保留所有的日志，并盡可能長(zhǎng)時(shí)間地保存它們——特別是因?yàn)闄z測(cè)一個(gè)漏洞可能需要數(shù)月甚至更長(zhǎng)時(shí)間。云存儲(chǔ)很便宜，她補(bǔ)充道。她還說，不同的日志提供了對(duì)事件的不同看法。

她說，任何阻止安全團(tuán)隊(duì)將日志流到數(shù)據(jù)庫(kù)或安全信息和事件管理系統(tǒng)(SIEM)的安全解決方案都是糟糕的。

沙姆班說，即使異常檢測(cè)是通過算法自動(dòng)進(jìn)行的，也遠(yuǎn)遠(yuǎn)不夠，因?yàn)榉治鋈藛T必須接受統(tǒng)計(jì)分析方面的培訓(xùn)。

最后，日志收集解決方案(SIEM或其他)的用戶界面必須是合適的:檢測(cè)到什么、什么是問題、為什么是問題以及應(yīng)該如何解決。忘掉儀表盤上的數(shù)字吧。百分之九十五是好的嗎?這是關(guān)于什么是安全的，她說，什么是不安全的。

Shamban還強(qiáng)調(diào)了預(yù)防(安全意識(shí)培訓(xùn)、雙因素或多因素身份驗(yàn)證、訪問控制)和檢測(cè)(監(jiān)視登錄模式、CPU使用、出站流量等)策略對(duì)于徹底的網(wǎng)絡(luò)安全的重要性。

她說，梳理日志——如果有必要的話，請(qǐng)一位專家——把最常見的10件事情列成一組。找到一個(gè)自動(dòng)化的解決方案。然后再做下一個(gè)10個(gè)。使用機(jī)器學(xué)習(xí)來判斷第二組中的問題是否與前10組中的問題相似。如果是這樣，已經(jīng)有一個(gè)自動(dòng)修復(fù)。如果沒有，則可以升級(jí)以供支持人員處理。

“你需要熱愛你的日志，”Shamban總結(jié)道?！爱?dāng)你早上醒來的時(shí)候，你需要想出新的方法來使用你的日志。當(dāng)你睡覺的時(shí)候，在親吻你的妻子或丈夫之后，想一些新的東西來處理我們的日志?！?/p>

她補(bǔ)充說，除了更好的安全性之外，這還會(huì)讓infosec團(tuán)隊(duì)感覺像是“為公司的安全性做出貢獻(xiàn)的高效人員”。