保护企业资产的最佳安全分析方法.docxVIP

PAGE 1 PAGE 1 保护企业资产的最佳安全分析方法  安全管理人员一直在探求改善信息安全的最佳方法。在此过程中，他们发觉成功的隐秘就在企业当中，健全的安全就存在于日志数据、元数据、非结构化数据以及大量的其它数据中。  安全管理人员一直在探求改善信息安全的最佳方法。在此过程中，他们发觉成功的隐秘就在企业当中，健全的安全就存在于日志数据、元数据、非结构化数据以及大量的其它数据中。“只在此山中，云深不知处”。但是，找到适当的数据并得出对IT和企业来说有意义的科学结论绝非易事。下面谈几个可以更好地理解IT风险的最佳安全分析方法，使企业更好地保护资产。  1、不要认为SIEM全面解决了你的安全需要  很多企业试图深入地进行安全分析，这就需要重新思索他们进行分析所使用的数据。企业安全团队或许会确信已经全面解决了安全分析问题，因为他们已经拥有了SIEM或日志管理，但除了日志之外，安全人员还需要关注其它的很多数据。从包括人力资源记录到欺诈性数据在内的一切数据在传统上一般都不属于IT安全的范围，但正是这种数据与IT的安全数据有着特别有意义的结合点。企业并没有充分利用数据，没有充分发挥数据的全部功能。假如企业能够真正挖掘环境中的非结构化数据、元数据或者环境外的非结构化数据等，将极大地改善安全状况。  2、不能仅仅关注关于攻击者的数据  把重点从SIEM数据中转移出来还有另一个目的，因为大量的元数据、记录数据以及关于网络的其它数据都日益受到安全分析的重视。安全人员应更亲密地关注企业的预备状态，而不仅仅重视关于潜在攻击者的数据。这也是成熟企业更好更全面地熟悉企业风险的一个重要标志。  “知彼知已，百战不殆”。安全团队不要仅仅重视分析攻击者，还要考虑一下自身。在此，不妨遥想一下战斗年月作战指挥部的情形。战斗的谋略家和指挥家们围绕在一张桌子旁，桌子上摆放着象征着不同物件或人物的模型。此时，他们已经获得了关于敌方行动的情报，这就像安全管理者获得SIEM的日志一样。但对于战斗游玩，有两个至关重要的要素：军队部署和地形侦察。假如指挥者不知道自己的军队在哪里，作战指挥部就是在纸上谈兵，其决策毫无用处。假如指挥者没有把握精确的地形信息，其思索和决策也必定存在巨大误差。对于信息安全而言，对网络的调查就相当于侦察地形，知道资产、防备及其状态就犹如明确军队部署一样。应付攻击者，不能仅看他们在日志中的信息，还要准确地知道企业的资产是如何组织的，网络结构又是怎样的。毛泽东说“没有调查就没有发言权”，对于网络安全亦如此。  3、确定企业的重要问题  在安全团队查找日志数据之外的其它数据源时，在打算衡量和分析哪些方面问题上，企业在行业中的地位、业务流程、企业资产等都扮演着重要角色。  在部署安全措施时，不可“抄袭”。对企业来说，理解自己所处的位置及被攻击的地方是很重要的。不同的企业有不同的攻击者，因而需要制定应付这些攻击者的详细措施。企业需要衡量每位员工简单在哪些方面暴露，确定或至少猜测一下关于企业数据的特征和攻击者会如何攻击的特定信息，强化关于企业详细业务的安全方法。这就是“详细问题详细分析”。  4、关注关键基础架构的变化  在考虑到企业需要时，找到应当持续监视的关键企业资产变得相对简单。企业的关键资产，不管是证书服务器还是特定的本地驱动，安全管理者都应当监视并分析其变化。  可以将变化分为系统变化（或配置变化）以及商业学问的变化。由于这些关键系统不应当有许多变化，所以发觉问题不会花费太多时间。而对变化进行分组可以节约大量时间。  5、安全分析  企业用于分析的数据越多，就越简单看到数据的不完善方面。为了从数据中获得最好的结论，就需要在前期清理数据，而且要熟悉到在数据收集中存在的问题。  在把这些数据源组合在一起时，你可能会留意到一些矛盾问题。在你从两个不同的团队（这两个团队都在公司内部独立工作）收集数据时，你要整合这些数据，却发觉这好像不可能。  分析人员以整合数据和评估数据源为基础，可以进一步改善数据质量和数据分析的质量。假如将数据源组合在一起，分析人员会发觉问题出在哪里，并熟悉到自己并没有扫描全部的主机，甚至会发觉有的网络竟然不受掌握，而且也没有得到完整的日志。  6、利用企业内部的业务情报专家  假如企业没有雄厚的财力雇佣数据专家去审查和分析安全数据，也不必放弃期望。安全分析人员可以恳求企业的业务情报团队帮助进行分析。业务情报团队拥有其自己的数据存储机制，其人员未必受到过信息安全的良好培训，却有大量的专业技术，当然知道数据分析的重点。依靠业务情报部门可以使安全分析有一个良好的开端，至少对于安全分