提高數(shù)據(jù)安全性的5種方法

數(shù)據(jù)安全對(duì)于大多數(shù)組織來(lái)說(shuō)是一個(gè)持續(xù)的挑戰(zhàn)，但利用您的 IT 管理數(shù)據(jù)可以使其變得更容易。數(shù)據(jù)安全改進(jìn)可能是一項(xiàng)昂貴的必需品，但有一些方法可以使用您的網(wǎng)絡(luò)和系統(tǒng)管理數(shù)據(jù)免費(fèi)進(jìn)行這些改進(jìn)。雖然您的網(wǎng)絡(luò)和系統(tǒng)管理平臺(tái)無(wú)法取代您的 SIEM 或 IDS，但進(jìn)行這些改進(jìn)可以通過(guò)多種有價(jià)值的方式提高您的效率。

由于軟件的不同專業(yè)化，基于管理數(shù)據(jù)的安全性具有許多安全平臺(tái)以廉價(jià)或易于訪問(wèn)的方式缺乏的優(yōu)勢(shì)。 下面討論的一些好處也可能與 IDS 一起使用，但沒(méi)有人讓他們的 IDS 在其環(huán)境中的每個(gè)端口上運(yùn)行。 使用現(xiàn)有工具而不是新工具可以減輕勞動(dòng)力負(fù)擔(dān)，從而節(jié)省培訓(xùn)、維護(hù)和管理費(fèi)用的時(shí)間和金錢。 此外，將安全功能集成到您的整體 IT 管理平臺(tái)可以大大提高您指揮中心的整體安全意識(shí)。這還可以通過(guò)提高跨多個(gè)團(tuán)隊(duì)的可見(jiàn)性來(lái)減少響應(yīng)安全事件所需的時(shí)間。

提高數(shù)據(jù)安全性的 5 種方法

1. 觀察網(wǎng)絡(luò)流量是否有異常行為

如果您監(jiān)控到我們始終建議的單個(gè)交換機(jī)端口級(jí)別，您將擁有非常精細(xì)的數(shù)據(jù)，可用于發(fā)現(xiàn)行為變化。

流量突然激增可能是發(fā)現(xiàn)受感染系統(tǒng)或開(kāi)始執(zhí)行網(wǎng)絡(luò)掃描或其他類型偵察的系統(tǒng)的簡(jiǎn)單方法。為確保您不會(huì)遺漏任何內(nèi)容，您還要監(jiān)控接入交換機(jī)端口。這使您可以密切關(guān)注最終用戶系統(tǒng)，而無(wú)需在每個(gè)系統(tǒng)上安裝端點(diǎn)監(jiān)控軟件的開(kāi)銷和麻煩。此外，如果入侵者可以禁用或規(guī)避端點(diǎn)監(jiān)控，這甚至可以幫助發(fā)現(xiàn)端點(diǎn)監(jiān)控可能遺漏的問(wèn)題。

從交換機(jī)的角度尋找入站流量的突然峰值是查找此類流量來(lái)源的好方法，您甚至可以跨多個(gè)交換機(jī)、路由器和防火墻對(duì)其進(jìn)行跟蹤。

總體流量水平的長(zhǎng)期變化，或后臺(tái)流量水平的大幅躍升，都清楚地表明系統(tǒng)現(xiàn)在正在以不同的方式使用。因此，問(wèn)題就變成了這種行為變化是否可以解釋。我們有一個(gè)客戶使用這種方法發(fā)現(xiàn)一名 IT 工作人員已經(jīng)開(kāi)始將他們的數(shù)據(jù)庫(kù)備份到他的本地硬盤驅(qū)動(dòng)器上。您可以更好地相信他們與他就正確的備份過(guò)程和數(shù)據(jù)安全性進(jìn)行了很好的交談。

為了發(fā)現(xiàn)這種不尋常的行為，您需要有一種方法來(lái)發(fā)現(xiàn)它，而無(wú)需不斷生成手動(dòng)基線。畢竟，一個(gè)月中特定日期的流量激增對(duì)于系統(tǒng)來(lái)說(shuō)可能是完全正常的。使用我們的異常檢測(cè)技術(shù)解決了這個(gè)問(wèn)題。

為這些數(shù)據(jù)保留了大量的高分辨率遙測(cè)和統(tǒng)計(jì)數(shù)據(jù)，用于自動(dòng)生成基線行為模型。然后，我們將當(dāng)前行為與一天中的某個(gè)時(shí)間、一周中的某天或其他基于時(shí)間的測(cè)量的正常行為進(jìn)行比較。您可以將靈敏度設(shè)置為高、中或低，具體取決于您的容差和環(huán)境，以及該統(tǒng)計(jì)數(shù)據(jù)的通常范圍，以微調(diào)過(guò)程。您還可以按需手動(dòng)運(yùn)行此數(shù)據(jù)。

然后，該信息用于檢測(cè)何時(shí)發(fā)生異常情況，我們可以將其標(biāo)記為異常，然后可以生成警報(bào)或報(bào)告。這使您可以發(fā)現(xiàn)這些意外行為，并收到有關(guān)它們的通知或?qū)⑺鼈兺扑偷侥?SIEM 進(jìn)行分析。

您還想觀察設(shè)備之間發(fā)生的情況。除了查找整體帶寬的異常之外，您還可以使用這些數(shù)據(jù)來(lái)監(jiān)控網(wǎng)絡(luò)層結(jié)構(gòu)，例如服務(wù)質(zhì)量 (QoS) 和 VRF 實(shí)例。這擴(kuò)展了您的可見(jiàn)性，以查找諸如 QoS 錯(cuò)誤配置之類的問(wèn)題，您將流量發(fā)送到錯(cuò)誤的隊(duì)列中。它還允許您查找通過(guò)錯(cuò)誤 VRF 發(fā)送的流量；即使它不是主動(dòng)入侵，也可能是一個(gè)安全問(wèn)題，并為我們提供了另一個(gè)尋找異常流量的地方，特別是如果它來(lái)自許多不同的來(lái)源。

2. 利用過(guò)程級(jí)別的異常檢測(cè)技術(shù)

要監(jiān)控的明顯數(shù)據(jù)點(diǎn)之一是正在運(yùn)行的進(jìn)程或新運(yùn)行進(jìn)程的總數(shù)。系統(tǒng)上出現(xiàn)新進(jìn)程時(shí)立即收到通知可能是一個(gè)很好的指標(biāo)，表明需要進(jìn)行一些調(diào)查。如果您當(dāng)前的 IDS/IPS 沒(méi)有擴(kuò)展到服務(wù)器操作系統(tǒng)級(jí)別，則尤其如此，這是很多公司無(wú)法承受的。同樣重要的是要考慮并非所有 IDS 系統(tǒng)都會(huì)標(biāo)記它，例如當(dāng)服務(wù)器突然開(kāi)始運(yùn)行瀏覽器或安裝程序時(shí)。

您還應(yīng)該注意現(xiàn)有進(jìn)程的 CPU 或內(nèi)存使用情況的突然變化。無(wú)論如何，出于性能原因，這通常是一個(gè)好主意。然而，如果 SQL CPU 使用率出現(xiàn)超過(guò)一天中正常時(shí)間的峰值，則可能表明未經(jīng)授權(quán)的登錄嘗試激增。您還可以觀察其他類型的進(jìn)程行為，例如數(shù)據(jù)庫(kù)查詢或鎖定的數(shù)量或登錄用戶的數(shù)量，因?yàn)楫惓；顒?dòng)也可能是您想要調(diào)查的潛在安全問(wèn)題。

3. 監(jiān)控日志異常

雖然這樣做通常是您的 SIEM 的領(lǐng)域，但您可以在這里做一些事情，這可能有助于使用異常檢測(cè)來(lái)補(bǔ)充這一點(diǎn)。 觀察每一條可能的日志消息——并試圖標(biāo)記那些可能意味著問(wèn)題的消息——通常太吵了，而且很難做好。此外，防火墻日志可能已由 SIEM 處理。因此，您觀察它們的方式是通過(guò)在日志中查找統(tǒng)計(jì)異常等操作。

生成的日志總量突然激增可能表明各種事情，包括安全問(wèn)題、暴力攻擊，甚至只是導(dǎo)致問(wèn)題的軟件錯(cuò)誤。由于您正在查看日志消息的數(shù)量和類型，這為您提供了一個(gè)有趣的視角來(lái)尋找異常行為。當(dāng)然，您仍然可以自己鉆取日志消息，以便在系統(tǒng)標(biāo)記異常后進(jìn)行故障排除或取證。您還可以創(chuàng)建規(guī)則來(lái)過(guò)濾您正在監(jiān)視的日志消息。例如，如果您只想計(jì)算登錄失敗消息，您也可以輕松地做到這一點(diǎn)。

您可以創(chuàng)建靜態(tài)閾值來(lái)發(fā)現(xiàn)事情何時(shí)完全偏離軌道，但異常更容易使用。如果應(yīng)用程序在每個(gè)星期一早上都有大量的登錄高峰，但在星期五幾乎沒(méi)有，那么當(dāng)星期五由于憑據(jù)受損而突然出現(xiàn)高峰時(shí)，創(chuàng)建靜態(tài)警報(bào)就不會(huì)很好地工作。

4. 使用配置管理數(shù)據(jù)確保安全

這似乎是一個(gè)顯而易見(jiàn)的問(wèn)題，但即使您已經(jīng)在使用配置管理數(shù)據(jù)，也有一些關(guān)鍵點(diǎn)可以確保它是安全過(guò)程的一部分。要問(wèn)的第一個(gè)問(wèn)題是這些變更警報(bào)的去向。是網(wǎng)絡(luò)團(tuán)隊(duì)，還是安全團(tuán)隊(duì)，還是兩者兼而有之？變更管理數(shù)據(jù)呢？

這對(duì)于觀察防火墻配置的變化尤其重要。這聽(tīng)起來(lái)很明顯，但您會(huì)驚訝于這種情況發(fā)生的頻率。有時(shí)只是因?yàn)榘踩珗F(tuán)隊(duì)和網(wǎng)絡(luò)團(tuán)隊(duì)溝通不暢。但是讓每個(gè)人都知道設(shè)備配置何時(shí)以及發(fā)生了什么變化可以節(jié)省大量的故障排除時(shí)間。請(qǐng)?zhí)貏e注意這些配置更改警報(bào)何時(shí)發(fā)生。您是否有預(yù)定義和批準(zhǔn)的變更窗口？您可能需要特別注意從這些窗戶外進(jìn)來(lái)的任何東西。

您還應(yīng)該確保已將這些警報(bào)與您的 SIEM 或票務(wù)系統(tǒng)集成。最重要的是，確保每次收到配置更改警報(bào)時(shí)，都會(huì)根據(jù)您的更改控制流程對(duì)其進(jìn)行審核和審查，以便您知道不會(huì)對(duì)您的基礎(chǔ)架構(gòu)或防火墻進(jìn)行未經(jīng)批準(zhǔn)的更改。

5. 觀察交通流量數(shù)據(jù)

您可以使用 Netflow 或 IPFIX 等基礎(chǔ)設(shè)施設(shè)備中已內(nèi)置的技術(shù)來(lái)收集有關(guān)網(wǎng)絡(luò)上誰(shuí)在與誰(shuí)通話以及正在使用哪些協(xié)議的信息。觀察網(wǎng)絡(luò)上突然出現(xiàn)的新協(xié)議是了解環(huán)境中正在發(fā)生的事情的好方法。但是，這在較大的環(huán)境中可能會(huì)有些棘手。例如，您可能有團(tuán)隊(duì)幾乎不斷地部署新應(yīng)用程序，如果您沒(méi)有良好的變更控制溝通，您可能并不總是知道新應(yīng)用程序何時(shí)上線。

最容易尋找的事情之一是控制類型流量的峰值，因?yàn)檫@些絕對(duì)是出現(xiàn)問(wèn)題的危險(xiǎn)信號(hào)。這可能是路由更新、ICMP 流量、DNS 請(qǐng)求的突然激增，甚至是 VPN 流量的意外激增。也許遠(yuǎn)程工作人員正在下載數(shù)據(jù)以離線工作，或者他正在復(fù)制客戶數(shù)據(jù)庫(kù)以出售給競(jìng)爭(zhēng)對(duì)手——無(wú)論哪種方式，都值得研究。

監(jiān)控您的應(yīng)用程序響應(yīng)時(shí)間

監(jiān)控您的應(yīng)用程序響應(yīng)時(shí)間起初似乎沒(méi)有安全隱患，但它絕對(duì)可以。蠻力攻擊或 DDoS 攻擊可能會(huì)導(dǎo)致您的應(yīng)用程序變慢，并且此數(shù)據(jù)可以與其他服務(wù)器性能指標(biāo)相關(guān)聯(lián)，以查看流量??是否合法。

這對(duì)于云托管系統(tǒng)尤其重要，因?yàn)槲覀兛赡軣o(wú)法深入訪問(wèn)服務(wù)器級(jí)信息。在許多托管環(huán)境中，您可能根本沒(méi)有操作系統(tǒng)可見(jiàn)性，因此管理頂層性能是您必須使用的唯一真實(shí)指標(biāo)，具體取決于您的應(yīng)用程序的檢測(cè)方式。

云提供商通常會(huì)構(gòu)建某種級(jí)別的 DDoS 保護(hù)，但很少提供針對(duì)暴力破解或密碼重放式攻擊的任何保護(hù)。因此，您無(wú)法控制——或者在大多數(shù)情況下，甚至無(wú)法看到——所有進(jìn)出系統(tǒng)的流量。一個(gè)簡(jiǎn)單的方法是使用異常檢測(cè)來(lái)觀察響應(yīng)時(shí)間的突然變化。這也可以是一個(gè)很好的性能數(shù)據(jù)管理工具。

看大圖

一旦您擁有所有這些出色的數(shù)據(jù)，您需要確保您正在共享它。通過(guò)向價(jià)值流中的每個(gè)人提供數(shù)據(jù)，每個(gè)人都對(duì)現(xiàn)實(shí)有共同的看法，這有助于溝通，并展示透明度，從而增強(qiáng)信任。成功的一個(gè)關(guān)鍵是讓訪問(wèn)信息變得容易和快速。團(tuán)隊(duì)不會(huì)覺(jué)得他們需要有自己的監(jiān)控，這會(huì)產(chǎn)生大量的警報(bào)噪音和多余的工作，以及產(chǎn)生管理、支持和維護(hù)支出問(wèn)題。

如果受眾是非技術(shù)人員（并且總是有一些非技術(shù)人員需要參與其中），請(qǐng)不要猶豫，將數(shù)據(jù)簡(jiǎn)化或抽象為更易于理解的格式。一種方法是使用我們的業(yè)務(wù)工作流視圖，它允許您將整個(gè)應(yīng)用程序及其所有組件部分滾動(dòng)到一個(gè)百分比分?jǐn)?shù)中。共享此數(shù)據(jù)可以采用多種形式，具體取決于適合您的環(huán)境的方式。API、公共共享頁(yè)面或內(nèi)網(wǎng)頁(yè)面、未經(jīng)身份驗(yàn)證的狀態(tài)頁(yè)面和信息輻射器。

信息輻射器只是設(shè)計(jì)用于在公共區(qū)域顯示重要狀態(tài)信息的系統(tǒng)。例如，每個(gè)人都經(jīng)過(guò)的走廊墻上的監(jiān)視器。團(tuán)隊(duì)可以根據(jù)受眾顯示應(yīng)用程序視圖或更多技術(shù)視圖。這使您可以讓所有團(tuán)隊(duì)保持同步，不僅是狀態(tài)數(shù)據(jù)，還有有用的操作指標(biāo)，如響應(yīng)時(shí)間或事務(wù)速度。

使用信息輻射器還可以讓我們積極展示核心價(jià)值觀，例如團(tuán)隊(duì)對(duì)訪問(wèn)者（客戶、利益相關(guān)者等）沒(méi)有什么可隱瞞的，對(duì)自己也沒(méi)有什么可隱瞞的。它承認(rèn)并面對(duì)問(wèn)題。

與 SIEM 工具集成

我們討論的其中一件事是將所有這些數(shù)據(jù)與您的 SIEM 集成，并將安全警報(bào)滾動(dòng)到您的儀表板中。對(duì)于來(lái)自 SIEM 的入站警報(bào)，這很容易。有一個(gè)非常簡(jiǎn)單的 API，可以讓您的其他系統(tǒng)將警報(bào)直接“推送”到我們的平臺(tái)，然后您可以在自定義儀表板和視圖上顯示。這也可以集成到您的所有指揮中心操作中。

對(duì)于集成出站消息，例如配置更改警報(bào)或異常警報(bào)，您有許多不同的選擇。您可以使用 webhook、JSON，甚至是電子郵件消息、Syslog 或 SNMP 陷阱，如果您的平臺(tái)能夠支持的話。

我們提供了一種編輯這些消息格式的簡(jiǎn)單方法，因此您可以確保將它們定制為您的 SIEM 可以輕松處理和解析的格式。您還可以在這些消息中包含各種信息；包括文檔信息，如序列號(hào)、資產(chǎn)標(biāo)簽、運(yùn)行手冊(cè)信息或現(xiàn)場(chǎng)負(fù)責(zé)聯(lián)系信息。

新聞標(biāo)題：提高數(shù)據(jù)安全性的5種方法
URL網(wǎng)址：http://www.bm7419.com/news8/313508.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、App設(shè)計(jì)、響應(yīng)式網(wǎng)站、自適應(yīng)網(wǎng)站、網(wǎng)站建設(shè)、微信小程序

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)