Video: Zero Days Unit8200 (Talpiot Program) 2024
Övervakning av säkerhetsrelaterade händelser är avgörande för pågående säkerhetsinsatser för att avskräcka hacking. Detta kan vara så grundläggande och vardagligt som att övervaka loggfiler på routrar, brandväggar och kritiska servrar varje dag. Avancerad övervakning kan innefatta att implementera ett korrelationssäkerhetshanteringssystem för att övervaka varje liten sak som händer i din miljö. En vanlig metod är att distribuera ett system för intrångsskydd eller system för läckage av data.
Problemet med att övervaka säkerhetsrelaterade händelser är att människor tycker att det är mycket tråkigt och mycket svårt att göra effektivt. Varje dag kan du ägna dig åt att kontrollera dina kritiska loggfiler från föregående natt eller helg för att kväva intrång och andra problem med datorn och nätverkssäkerheten. Men vill du verkligen utsätta dig själv eller någon annan för den typen av tortyr?
Det är dock inte det bästa sättet att övervaka systemet genom att manuellt sifra genom loggfiler. Tänk på följande nackdelar:
-
Att hitta kritiska säkerhetshändelser i systemloggfiler är svårt, om inte omöjligt. Det är bara för tråkigt en uppgift för den genomsnittliga människan att åstadkomma effektivt.
-
Beroende på vilken typ av loggnings- och säkerhetsutrustning du använder kan du inte ens upptäcka några säkerhetshändelser, såsom IDR-avvikelsekniker och hacks som kommer in i tillåtna portar på nätverket.
Istället för att panorera genom alla dina loggfiler för svår att hitta intrång, prova det här:
-
Aktivera systemloggning där det är rimligt och möjligt. Du behöver inte nödvändigtvis fånga alla dator- och nätverkshändelser, men du borde definitivt leta efter vissa uppenbara sådana, till exempel inloggningsfel, felaktiga paket och obehörig filåtkomst.
-
Logga säkerhetshändelser med syslog eller en annan central server i ditt nätverk. Håll inte loggar på den lokala värden, om möjligt, för att förhindra de dåliga killarna att manipulera med loggfiler för att täcka deras spår.
Följande är ett par bra lösningar för säkerhetsövervakningsdilemmet:
-
Köp ett eventloggningssystem. Några låga men ändå effektiva lösningar finns tillgängliga, till exempel GFI EventsManager. Vanligtvis stöder billigare loggningssystem oftast bara en operativsystem - Microsoft Windows är den vanligaste. Higher-end lösningar, som HP ArcSight Logger, erbjuder både loghantering över olika plattformar och händelsekorrelation för att hjälpa till att spåra källan till säkerhetsproblem och de olika systemen som påverkas under en incident.
-
Outsource säkerhetsövervakning till en tredjepartsadministrerad säkerhetstjänstleverantör (MSSP) i molnet. Ett fåtal MSSPs finns tillgängliga som BTs Assure Managed Service, Dell SecureWorks och Alert Logic. Nu betraktas som molntjänstleverantörer, har dessa företag ofta verktyg som du sannolikt inte skulle ha råd med och behålla. De har också analytiker som arbetar dygnet runt och säkerhetsupplevelser och kunskaper de får från andra kunder.
När dessa molntjänstleverantörer upptäcker ett säkerhetsproblem eller intrång kan de oftast ta itu med problemet, ofta utan ditt engagemang. Kontrollera om tredjepartsföretag och deras tjänster kan frigöra lite av din tid och resurser. Beroende inte bara på deras övervakningsinsatser. En molntjänstleverantör kan ha problem med att fånga insidermissbruk, socialtekniska attacker och webapplikationshackar över Secure Sockets Layer. Du måste vara involverad.