将SIEM转变为用于高级威胁早期警告系统.PDFVIP

将SIEM 转变为用于高级威胁的 早期警告系统 大数据将SIEM 推动至安全分析时代 年 月 2012 9 执行概述 作者说明 在过去几年中，有超大范围的政府机构和著名的公司都遭受了旨在利用漏洞、中断运营 “目前，大多数SOC 检测组织 和窃取宝贵信息的隐秘的定制计算机攻击。许多高级威胁的受害者拥有最新的检测和预 防系统，但仍未能阻止威胁进入。因此，很显然当前的安全系统还不能胜任阻止这些高 内部中的事件的能力并不能达 级威胁的任务。这些系统未能阻止或感应到攻击出现在受害者的网络中，直到损失已经 到与威胁相当的水平。我们通 造成。 常不是在威胁正在进入组织或 考虑到当今的威胁环境，安全团队现在认识到他们必须假设其 环境会间歇性地受到破 IT 已经进入了网络之后发现它 坏。仅采用预防性措施来保护边界，或者使用签名匹配技术来检测恶意问题便已足够， 们，而是在已经发生了攻击并 这样的日子已一去不复返。现在我们需要基于对攻击各阶段的了解、持续的威胁监视以 且数据已经泄露后才发现。” 及快速的攻击检测和补救的新做法。 要提高可视性，敏捷性和处理高级威胁的速度，安全信息和事件管理(SIEM) 系统需要发 ， 的计算机安全首席技术官 Dean Weber CSC 展成为适用于大规模安全分析的集中神经系统。具体来讲，需要四项基本能力 ： 1 普遍的可视性—获得知道 环境中所发生的一切的能力需要融合许多数据源，包括 . IT 网络数据包捕获和完整会话重建，来自网络和主机设备的日志文件以及外部信息， 例如威胁指示信号和其他安全智能信息。集中化的日志收集已不再充分。 2. 更深入的分析—根据背景检查风险并跨不同的数据集随着时间比较行为模式，可提 高在检测高级威胁方面的信噪比，因而缩短解决时间。 3. 巨大的可扩展性—收集安全数据的平台必须能够在规模和范围上进行扩展，来处理 完整的情境感知越来越需要的超大量信息。 4. 统一的视图—将与安全相关的信息整合至一个位置，对于根据背景调查事故以及加 速做出关于潜在威胁的决定至关重要。 安全运营中心(SOC) 需要能够快速收集和审查安全数据的高级分析工具，以便根据背景 提供最紧迫的问题。新的安全分析平台正在兴起，它们具备传统SIEM 系统的所有功能 以及更多功能，包括加速高级威胁的检测，以便使组织有机会阻止隐蔽的攻击。 RSA 安全简述 安全简述， 年 月 RSA 2012 9 RSA 安全简报就当前最紧迫的信息安全风险和机会为安 全领导者和其他执行官提供重要指导。每份简报都是由 安全和技术专家组成的精选响应团队编写的，他们在各 大公司中机动