更好地利用日志來提高安全性和員工滿意度

提高企業(yè)安全性的“秘密成分”就在您的鼻子底下:更好地利用硬件和軟件每天生成的日志。

這是供應(yīng)商Dome9 security的安全研究主管Shira Shamban的觀點(diǎn)，Dome9 security提供云可見性解決方案，該方案于周二在多倫多的年度行業(yè)會議上提出。

“這是我們最重要的安全工具?！?/p>

事實上，這對供應(yīng)商來說是不尋常的。沙姆班說，硬件和軟件產(chǎn)品的制造商正在把infosec專業(yè)人士趕出這個行業(yè)，因為銷售的東西并不能讓組織更安全。

她抱怨道:“我們在與攻擊者的競爭中失敗了?！薄?016年，一般的企業(yè)在其網(wǎng)絡(luò)上安裝了70多個安全解決方案。但五分之四的安全專家認(rèn)為，他們的組織將被攻破。

“為什么我們一直在安裝更多的安全解決方案?””她問道?！八麄儧]有給我們帶來我們所追求的自信和安全感。我們做錯了?！?/p>

每個組織，無論規(guī)模大小，都需要安全的IT，公司預(yù)算通常證明了這種需要。在處理…

Windows的錯誤報告每天都會從系統(tǒng)中跳出來，但通常會被大多數(shù)組織忽略。但是一個安全供應(yīng)商說…

Shamban說，SOC分析師的平均水平受到警報和儀表板的狂轟濫炸。他們不會幫它完成工作?！巴Ｖ官徺I那些不能幫助我們更好地做好安全工作的產(chǎn)品，”她要求經(jīng)理們。她說，分析師一兩年后離開也就不足為奇了?！皩λ麄兊乃魉鶠楦械椒浅?、非常不滿意，這在一定程度上是我們的錯，因為我們沒有給他們配備正確的工具……我們沒有幫助他們……”我們讓他們的生活更悲慘。他們沒有成就感，他們只是討厭它?！?/p>

沙姆班說，雖然日志中有大量需要利用的事件信息，但她從信息安全專家那里聽到了很多被忽視的理由:“我有殺毒軟件?！拔蚁胛野阉械娜罩径加浵聛砹?。”“我只使用默認(rèn)配置?！?/p>

然而，她指出，80%的安全問題會重復(fù)出現(xiàn)，這就是為什么日志分析如此重要?！拔覀冃枰粍谟酪莸亟鉀Q這80%的問題，這樣，剩下的時間里，安全工程師們就能做真正酷、有趣、復(fù)雜的事情。”

“日志讓我們看到我們沒有意識到的盲點(diǎn)……

首先，Shamban說，保留所有的日志，并盡可能長時間地保存它們——特別是因為檢測一個漏洞可能需要數(shù)月甚至更長時間。云存儲很便宜，她補(bǔ)充道。她還說，不同的日志提供了對事件的不同看法。

她說，任何阻止安全團(tuán)隊將日志流到數(shù)據(jù)庫或安全信息和事件管理系統(tǒng)(SIEM)的安全解決方案都是糟糕的。

沙姆班說，即使異常檢測是通過算法自動進(jìn)行的，也遠(yuǎn)遠(yuǎn)不夠，因為分析人員必須接受統(tǒng)計分析方面的培訓(xùn)。

最后，日志收集解決方案(SIEM或其他)的用戶界面必須是合適的:檢測到什么、什么是問題、為什么是問題以及應(yīng)該如何解決。忘掉儀表盤上的數(shù)字吧。百分之九十五是好的嗎?這是關(guān)于什么是安全的，她說，什么是不安全的。

Shamban還強(qiáng)調(diào)了預(yù)防(安全意識培訓(xùn)、雙因素或多因素身份驗證、訪問控制)和檢測(監(jiān)視登錄模式、CPU使用、出站流量等)策略對于徹底的網(wǎng)絡(luò)安全的重要性。

她說，梳理日志——如果有必要的話，請一位專家——把最常見的10件事情列成一組。找到一個自動化的解決方案。然后再做下一個10個。使用機(jī)器學(xué)習(xí)來判斷第二組中的問題是否與前10組中的問題相似。如果是這樣，已經(jīng)有一個自動修復(fù)。如果沒有，則可以升級以供支持人員處理。

“你需要熱愛你的日志，”Shamban總結(jié)道?！爱?dāng)你早上醒來的時候，你需要想出新的方法來使用你的日志。當(dāng)你睡覺的時候，在親吻你的妻子或丈夫之后，想一些新的東西來處理我們的日志。”

她補(bǔ)充說，除了更好的安全性之外，這還會讓infosec團(tuán)隊感覺像是“為公司的安全性做出貢獻(xiàn)的高效人員”。