Video: Week 4 2024
Overvågning af sikkerhedsrelaterede begivenheder er afgørende for igangværende sikkerhedsindsatser for at afskrække hacking. Dette kan være så grundlæggende og dagligdags som at overvåge logfiler på routere, firewalls og kritiske servere hver dag. Avanceret overvågning kan omfatte implementering af et korrelationssikkerhedshændelsesstyringssystem til overvågning af enhver lille ting, der sker i dit miljø. En fælles metode er at implementere et indbrudsforebyggelsessystem eller datalækagesystem.
Problemet med overvågning af sikkerhedsrelaterede hændelser er, at mennesker finder det meget kedeligt og meget svært at gøre effektivt. Hver dag kan du dedikere tid til at kontrollere dine kritiske logfiler fra den foregående nat eller weekend for at udrydde indtrængen og andre problemer med computeren og netværkssikkerheden. Men vil du virkelig underkaste dig selv eller en anden til den slags tortur?
Det er dog ikke den bedste måde at overvåge systemet manuelt på ved at sive igennem logfiler. Overvej følgende ulemper:
-
Det er svært at finde kritiske sikkerhedshændelser i systemlogfiler, hvis ikke umulige. Det er bare for kedeligt en opgave for det gennemsnitlige menneske at udføre effektivt.
-
Afhængigt af typen af log- og sikkerhedsudstyr, du bruger, kan du ikke engang finde nogle sikkerhedshændelser, som f.eks. IDS-unddragelsesmetoder og hacks, der kommer i tilladte porte på netværket.
Prøv det her:
-
Aktiver systemlogning, hvor det er rimeligt og muligt. I stedet for at panorere gennem alle dine logfiler for svære at finde indtrængen. Du behøver ikke nødvendigvis at fange alle computer- og netværksbegivenheder, men du bør helt sikkert se efter nogle indlysende, som f.eks. Loginfejl, fejlformede pakker og uautoriseret filadgang.
-
Log sikkerhedshændelser ved hjælp af syslog eller en anden central server på dit netværk. Hold ikke logfiler på den lokale vært, hvis det er muligt, for at forhindre de onde i at manipulere med logfiler til at dække deres spor.
Nedenstående er et par gode løsninger på sikkerhedsovervågningsdilemmet:
-
Køb et hændelsesloggningssystem. Der findes nogle få billige, men effektive løsninger, som f.eks. GFI EventsManager. Typisk understøtter billigere loginsystemer normalt kun en OS-platform - Microsoft Windows er den mest almindelige. Higher-end-løsninger, såsom HP ArcSight Logger, tilbyder både logstyring på tværs af forskellige platforme og hændelseskorrelation for at hjælpe med at spore kilden til sikkerhedsproblemer og de forskellige systemer, der er berørt under en hændelse.
-
Outsource sikkerhedsovervågning til en tredjeparts administreret sikkerhedstjenesteudbyder (MSSP) i skyen. Nogle få MSSP'er er tilgængelige som BTs Assure Managed Service, Dell SecureWorks og Alert Logic. Nu betragtes som cloud service providers, har disse virksomheder ofte værktøjer, som du sandsynligvis ikke ville have råd til og vedligeholde. De har også analytikere, der arbejder døgnet rundt og sikkerhedserfaringer og viden, de får fra andre kunder.
Når disse skydeudbydere opdager en sikkerhedssvaghed eller indtrængen, kan de normalt løse problemet straks, ofte uden dit engagement. Kontroller, om tredjepartsfirmaer og deres tjenester kan frigøre noget af din tid og ressourcer. Ikke alene afhænge af deres overvågningsindsats; en cloud service provider kan have problemer med at fange insider misbrug, social engineering angreb og web ansøgning hacks over Secure Sockets Layer. Du skal være involveret.
