快捷搜索:  网络  后门  扫描  渗透  CVE  木马  黑客  as

花钱买罪受?SIEM的五大常见问题

弁言

眼下很多单位的全营业都深受”威胁检测”问题的搅扰。Mandiant全公司在2018年的M-Trends讲演中就指出,从攻击最先到发现攻击活动的平均时长是99天。在这个“猫捉老鼠”的游戏中,很显然,现在这只猫还只是一只在喝奶的小猫咪。为了让它迅速强盛,众多安全厂商最先鼓吹为这只嫩猫配备一个鸣做“SIEM”的神器。可没想到,投了钱,烦末路却越来越多……

我曾在SANS开过一门“SIEM with Tactical Analytics”的课程,很多人认为我是SIEM的尽对拥护者。当然,我的确是,因为我认为SIEM是现有的、最强盛的检测解决方案之一。然则,“最强盛”并不一定象征着“最佳”。虽然我也希翼SIEM能够解决我们所有的问题,但究竟并非云云。

SIEM的五大常见问题

甲方单位采购SIEM一般都会带着下面这些美好的愿望:

快速的搜索以及响应时间

能够与任何团队或小我私人绝可能精细化地同享数据

内置威胁情报,突出攻击者活动

零误报

大数据及阐发手艺

机器学习或举动阐发的自动化

数据关联自动化

但实际部署后,除了最最先的采购投入,还会产生大批一样平常珍爱的费用支出以及人力成本。

从目前的SIEM手艺及部署情形来看,上面提到的“美好愿望”都是分歧理的。起首我们要明确的一点是,SIEM只是全部安全保证项目中的其中一部分,它是否能够发挥作用仍旧依靠于别的安全组件。

本文首要包括下列三部分内容:

SIEM的五大常见问题

实际应用案例

SIEM采购建议与功能完成的必要前提

SIEM的五大常见问题

1. 网络的数据质量越高,SIEM性能越好

SIEM的五大常见问题

明确网络哪些类型的日记比单纯地网络日记更重要。

只简单地部署一个SIEM起不到任何安全保证的作用——将数据加载到SIEM中才赋予了它真实的价值。那么问题来了:很多数据源并不理想,且大多数数据不易以二进制“好/坏”的方式分类。譬如,Windows日记的网络无比普遍,对安全操作人员来说,这是一个最佳也是最糟糕的数据源。

对于刚接触的安全人员来说,Windows体系甚至都不会记录重要的事故日记,因为进程以及命令行日记、PowerShell日记以及Windows驱动程序框架日记在默认情形下都是不启用的。但要是在未调试的情形下记录所有日记,SIEM就会因为大批的无用数据而不堪重负。默认启用的Windows日记绝管作用很大,但也会产生大批的垃圾信息。日记的网络、解析以及过滤是一门需要时间以及耐性的艺术。另外,还要对日记的有用性进行反复评估。

更何况,我们尚无考虑数据怎么样输入SIEM的问题。要是该日记由syslog(一种常见的日记传输协定)发出,那么治理员必须执行解析。这就象征着该日记在SIEM中的状态可能已经丢失了原始事故中的某些数据以及环境信息。照样以Windows为例,单个Win10体系在内陆二进制XML日记结构中有超过800个字段。然而,大多数SIEM对日记源进行解析、减少以及转换后就只有200个字段了。

这个效果就像你原先是可以开跑车的,却去骑了马。你能走多遥,取决于你网络了什么数据、通过什么样的方式网络。

2. SIEM要与实际案例相结合

SIEM的五大常见问题

呜呜呜……它没有电池…

SIEM没法将信息安全领域的专业知识以及日记应用与你的详细需求完成自动化结合。一旦数据进入SIEM,就需要你来告诉SIEM应怎么样处理这些数据。简单来说,就像我们买了一个玩具,玩具本身是不带电池的,需要我们预备好电池并实现准确的装置。SIEM就是一个很酷的玩具,然则木有电池……

你是否也有过如许的经历,讯问某个厂商关于他们SIEM产品的告警规则或检测攻击者所使用的手艺,却只得到“每一个单位都不同样”如许的归答?虽然一定程度上的确云云,但照样有一些基于常见攻击要领的手艺具有普适性。下面我举两个例子:

MITRE ATT&CK这个开源框架是攻击要领与举动的模型。防御者可以用它来识别攻击者可能使用的手艺要领,查看他们的流程以及控制措施,从而找出检测以及防备笼盖面中的不足。

Sigma:这是一种SIEM的中性规则说话,可用于编写支持任何环境及任何SIEM的规则。为了使这个概念发挥作用,转换过程采用SIEM非自动编写的规则,适用于特定的SIEM。

总而言之,SIEM+应用案例=幸福的婚姻。不与实际应用相结合的SIEM早晚都会“离婚”,SIEM的“誓言”、“信任”和强盛的检测功能都将形同虚设。

3. 数据越多并不等于检测功能越强盛

大数据时代已经来临。安全运营团队正在争先恐后地网络他们可以得到的所稀有据。除了抢房,还要抢数据。

至多见的错误就是SIEM中充斥着大批无用的数据,我把这类征象称之为“茶歇SIEM”——即使是简单的搜索,也需要数秒或更长时间才能实现。要是一位阐发师始终都在守候搜索效果,那么他们可能就会自然而然地选择值得搜索的内容,即返归效果最快的。

SIEM的五大常见问题

依然在守候……

SIEM需要的是增强阐发,而不是阻碍阐发过程。简单来说,less is more(过犹不迭)。数据越多,SIEM性能反而越差,阐发师掉的坑也就越多。

4. 缺乏环境

SIEM的五大常见问题

让我本人解决?我花钱不就是为了让你来帮我的么?

一个好的SIEM应由阐发师构建,为阐发师服务。也就是说,当阐发师查看警报或日记时,SIEM能够提供有益的环境信息。如今市场中大多数SIEM在日记丰富化(log enrichment)或为日记添加环境信息方面的功能都很完美。然则,在实际部署中,相对log enrichment,很多人都愈加注重数据的网络。

例如,无线黑客,要是一个阐发师正在查看“covertc2.com”这个正在被走访的可疑域名。一个DNS日记包含域名、源IP以及目的IP报头信息、产生的IP地址和DNS记录类型。这些信息是否足以让阐发师确定该域名为恶意、可疑照样良性?很显然,仅根据这些有限的数据作出的决定肯定存在误差。

现在请你想象一下,要是SIEM添加了下列这些环境信息,你能够推测出什么?

该域名不在走访的前100万个网站中。

该域名注册于2016年11月1日。

该IP与伊利诺伊州的一家企业有关。

该IP属于Total Server Solutions L.L.C.。

该域名未出现在威胁情报数据库中。

该域名看起来并非随机生成。

这些环境信息并不能让阐发师百分之百地确定善恶,但无疑为阐发师提供了很多违景信息,能够帮助他们作出愈加明智的决定。

5. 重心偏离:过量关注SIEM的珍爱

说来也怪,很多单位都能接受SIEM的一大缺陷——人力成本(无意甚至是一笔巨额开销)。他们会约请专家或请求现有团队为数据网络以及SIEM的珍爱提供支持。因此,最后酿成的局面就是该单位没有发挥SIEM的服务价值,反过来消费大批资源来“侍候”它。这方面的人力投入要是放在别的地方,完全可以完成更大的价值。

要是你花80%的时间在SIEM的珍爱上(代办署理部署、日记解析、体系升级),那么你就极可能永遥没法完成SIEM价值的最大化。自动化对于一个成功的SIEM实施方案来说太重要了。你的环境是不断变迁的,“自动化”也应紧跟步伐,只有如许才能将你的时间花在战术实施方面。

SIEM的五大常见问题我要的是“全自动”!!!

应用案例:6周 vs. 14个月

关于第5个问题,我们来看一个实际案例。我曾供职的一家公司推出了一个SIEM解决方案。该项目中有15个全职员工,项目总时长14个月。一年之后,他们停息了项目,反思SIEM完成了什么功能、为公司创造了什么价值。归顾效果并不理想。14个月之后,他们仍旧处于数据网络的状态,检测功能依然没法发挥作用。

后来我有幸介入了这个项目。在不到一个月的时间内,推出了一个全新的方案:行使自动化手艺部署日记代办署理、数据网络、数据源部署,修改或禁用默认或预警警报,并根据已丰富的日记数据实施新的警报机制。

直到第6周快结束时,不到5个正式员工所输出的解决方案超过了15小我私人花了14个月的工作成果。显著,改革后SIEM的投资报答遥超预期。

采购SIEM的6大症结条件

一个成功的SIEM方案必须具备下列前提:

员工具有专业的信息安全知识违景

员工具备对SIEM产品的充分了解

数据丰富功能

支持自动化

对重要数据的网络与行使

检测功能与实际应用相结合

机器学习以及举动阐发也是无比重要的手艺组成部分。然则在你尚无做好上述预备之前,临时不要将精力整个放在机器学习或举动阐发上。一个已达到上述6个条件前提但还没有完成自动检测功能的SIEM应用单位将比没有做好预备却专注于自动捕捉异常举动工具的单位更具后劲。

症结要点

根据一般的经验法则来看,SIEM更适合成熟的、有经验的安全团队来操作。当然,这也不是硬性规定,我一样也看到过很多初级团队成功部署SIEM并取得正向效果。他们能够将SIEM很好地与部署环境相结合,并实施像防火墙规则如许的安全控制措施。但大多数情形下,很多团队都是冒失地加入SIEM雄师,劈面即遇上了我上述列举的五大问题。

症结要点以下:SIEM尽不能成为放开安全保证的切入点,尤为是在刚成立安整个门的情形下。一口吃不成胖子,起首要从最基础的做起。终端安全解决方案、收集分段、防火墙等等在安全防御方面路漫漫其修遥兮,然则对于检测功能的完成却尤其必要的。实现基础内容后,下一步当然也不是立马去买个SIEM归来。只有当你相符上述请求时,才可以推进SIEM的购买以及珍爱。

我希翼以上的观点能够帮助你的团队规避SIEM的常见问题,成为威胁检测战斗中的常胜将军。

注:Justin Henderson,SANS培训老师(课程名称:SIEM with Tactical Analytics),拥有十多年经验的安全架构师与研究员,热衷于传道授业解惑。

0.png*参考来源:redcanary.com,柚子编译,

您可能还会对下面的文章感兴趣: