公司企业追逐数字转型梦想的路上,现场安全信息与事件管理 (SIEM) 迁移至云端 SIEM 是绕不过的一道坎儿。迁移过程中,CISO 仔细审查之前的安全事件与事件日志保留策略,回顾过往假设与过程。
若公司需遵循行业合规与监管要求,全部事件日志的保留期从一年到七年不等。很多情况下一年底线已可满足大多数规定的要求,但公司法律顾问通常会建议保留三到四年。
在公共云上,数据保留受多种因素影响,比如不同选项、服务和价位。备份、二进制大对象 (Blob) 存储、热访问、冷访问……存储和访问安全事件及日志的方法数不胜数。且云存储价格连年下降,只要不着急查看所存数据,永久保留所有数据似乎实惠又省心。但实时威胁追捕需能快速访问数据,只有存储价格更高的热数据能赋予防御者这种数据访问上的便利。SIEM 数据采用热访问存储无疑是比较贵的数据存储选项。查询和主动威胁追捕所需的 SIEM 即时访问,合规要求的事件及日志数据长期存储,二者之间需要取得合理的平衡。那么,到底能不能达到最优存储平衡呢?
最近两年的公开威胁报告指出,发现入侵的平均时间在 190 到 220 天之间,控制入侵的时间窗口在 60 到 100 天之间。因此,从统计数据上看,云 SIEM 中安全事件日志保持 220 天热访问存储仅能帮助识别公司遭遇的半数入侵。很明显,公司企业需要更长的安全日志热访问存储期,尤其是对安全成熟度不高或安全运营能力欠缺的公司企业而言。
然而,SIEM 可发现的大量威胁及相关事件其实用不了这么长时间就能检测到,而快速检测自然能严重妨碍对手长期驻留的意图。比如说,只要日志记录配置合理,云 SIEM 能很轻松地自动拼出电子邮件网络钓鱼攻击的杀伤链,帮助安全人员阻止恶意软件安装,切断恶意命令与控制服务器 (C&C) 通信,防止高价值服务器管理员权限遭对手暴力破解。如今,此类场景几乎在所有企业网络安全事件中占了一半。
刚接触云 SIEM 的公司企业最好从一年份事件日志滚动窗口开始,并测量入侵的频率和缓解时间。更为久远的事件日志可以选择较便宜的云存储选项,不用为威胁追捕保持即时可用的热访问状态。
根据安全运营团队缓解云 SIEM 产生事件的能力,如果团队没有足够资源应付无法解析的事件,减小滚动窗口时间是比较经济的做法。但未必明智。资源不足的安全团队寻求托管安全服务提供商补足人手短缺更为合理。
于是,事件日志保留多年有何价值的问题又摆上了台面。多年日志留存真的纯粹只是合规清单上不得不勾选的一项吗?
日常云 SIEM 运营可能大多按一年滚动窗口处理,但若以最新威胁情报和攻击指标 (IoC) 为调查种子,对多年事件日志一年组织两次威胁追捕,好处也是显而易见的。这种周期性事件有两个目标:降低云 SIEM 运营月平均成本(通过临时加载和卸载历史数据),以及让团队换种模式,深入更大范围的数据集找寻 “慢速低频” 入侵。如果检测到较早期入侵事件,可以再纳入更早期的事件日志,追寻入侵者渗透原点或查清被窃记录完整范围。
但要注意别一不小心陷入无限事件日志保留漩涡。如果发生数据泄露的公司仅留有两年的日志,却能追踪到始于四年前的入侵,其面向客户的公开披露在某些人(包括监管者)听来就更糟糕了。比如说,披露称 “我们可以确认过去两年间的客户受到影响”,就比说 “2015 年 7 月 4 日以来的客户受到影响” 更加糟糕。找出日志保留最佳点应是董事会层级的决策。
迁移到云 SIEM 后,CISO 还需决定应保留的日志类型和要采用的日志设置。
理想情况下,所有事件日志都应传至云 SIEM。这是因为驱动威胁检测和自动化响应的人工智能 (AI) 和日志分析系统依赖数据馈送。另外,最大限度地纳入企业设备及应用产生的日志,可以帮助减少检测时间和去除潜在误报,由而提升系统建议的整体可信度。
多数应用和联网设备都提供分级日志功能,所含内容可从错误消息警报及错误信息,到错误、警告、状态消息和调试信息等。总的说来,事件日志细节越丰富,为云 SIEM 提供的价值越大。从这个意义上讲,将日志设置从 “普通” 升级为 “详细”,可带来多种威胁响应效益,尤其是在处理错误配置和关键性确定的时候。
云 SIEM 和云 AI 创新仍在以惊人的速度共生发展。尽管大多数企业尚不熟悉云 SIEM,其利用公共云固有功能的能力却正切实改变着安全运营状态。不仅可以更快发现威胁和更高效管理响应,核心 AI 的持续进步也令云 SIEM 技术更具价值,与此同时,云端运营 SIEM 和存储数据的成本还在不断下降。通过维持一年滚动窗口的热数据,同时在一年两次的威胁追捕中利用冷存储的早期数据,切实利用智能云对公司企业来说不再是遥远的未来,而是就在眼前的当下。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。