本文中,我們主要基于真實(shí)環(huán)境提出三種可解決此問(wèn)題的有效方法�。
一��、真正有價(jià)值的事件
安防監(jiān)控系統(tǒng)的最大問(wèn)題就是哪些異常會(huì)引發(fā)事件�。作為安全運(yùn)營(yíng)團(tuán)隊(duì)面臨的挑戰(zhàn)之一是要從眾多事件中找出相關(guān)且有意義的事件,而這事件中混雜著太多誤報(bào)。在解決這一問(wèn)題前�,就是要明白該如何定義一個(gè)事件,當(dāng)然��,需要根據(jù)安防監(jiān)控系統(tǒng)所屬領(lǐng)域來(lái)定義�。在實(shí)際決策中,首先需要非常了解專業(yè)領(lǐng)域�,然后使用復(fù)雜算法,來(lái)找到真正的目標(biāo)��。
例如��,在內(nèi)部威脅領(lǐng)域��,安防監(jiān)控系統(tǒng)可識(shí)別出某一用戶是首次進(jìn)行數(shù)據(jù)庫(kù)操作�。但由于之前沒(méi)發(fā)生過(guò)此類操作,因此會(huì)被視為異常�,但這就是真正的安全事件了嗎?為了回答這個(gè)疑問(wèn)��,我們需將用戶和數(shù)據(jù)庫(kù)進(jìn)行分類�,以及將二者進(jìn)行關(guān)聯(lián)分析。這樣才能讓你對(duì)整個(gè)事件有深入的了解�,而不是僅僅停留在表面。
二�、事件分組
一旦識(shí)別出真正有價(jià)值的事件,可基于事件描述的具體場(chǎng)景進(jìn)行分組,降低事件數(shù)量��,使安全工程師可對(duì)同類事件整體處理��。盡管每個(gè)單一事件可能是有效的�,但是當(dāng)事件按類別組合在一起,更多��、更易于理解的說(shuō)明信息顯示這些事件可以作為一個(gè)整體來(lái)處理��,這樣可大幅提高處理效率��。
三�、兩類分組方式:
1. 按事件類型分組�。例如:多個(gè)用戶濫用一個(gè)服務(wù)賬號(hào)。
這表示該服務(wù)賬號(hào)為某一群體所共用��,這并不是一個(gè)好的做法�。可通過(guò)調(diào)整賬號(hào)權(quán)限來(lái)解決此類問(wèn)題�。
2. 按事件描述內(nèi)容進(jìn)行分組。例如��,某一用戶濫用特定的數(shù)據(jù)庫(kù)帳號(hào)�、訪問(wèn)了某些應(yīng)用數(shù)據(jù)表,并訪問(wèn)了大量文件。這意味著該用戶可能會(huì)損害企業(yè)的數(shù)據(jù)�。應(yīng)對(duì)用戶及其行為進(jìn)行評(píng)估。
根據(jù)Imperva CounterBreach的客戶數(shù)據(jù)示例�,可以看到經(jīng)過(guò)分組,客戶需要處理的事件數(shù)量大幅減少��。雖然事件在持續(xù)增加�,但分組數(shù)量卻增加緩慢,直至不再新增分組�。
東莞安防
圖1:用13個(gè)分組取代了377個(gè)事件
事件優(yōu)先級(jí)評(píng)分
過(guò)去,安全事件優(yōu)先級(jí)劃分通常是通過(guò)將事件劃分為嚴(yán)重程度(嚴(yán)重�、高、中��、低)來(lái)完成�。這種類型的分類并不能明確決定首先應(yīng)該做什么。假設(shè)有10起事件被歸類為嚴(yán)重事件��。所有的事件必須立即處理�,但首先應(yīng)該處理哪一起?
建議為各類事件設(shè)置優(yōu)先級(jí)評(píng)分制�,分?jǐn)?shù)范圍為0至100。不同的事件和得分標(biāo)準(zhǔn)使用不同的計(jì)算方法�,最后得出優(yōu)先級(jí)評(píng)分。
例如:“數(shù)據(jù)庫(kù)記錄訪問(wèn)過(guò)多”事件的傳統(tǒng)優(yōu)先級(jí)為高��,因?yàn)檫@種情況下可能意味著數(shù)據(jù)被盜。
當(dāng)這類事件同時(shí)發(fā)生兩筆��,乍一看��,應(yīng)按同一緊急程度處置��,但這兩筆事件的優(yōu)先性真的是一樣嗎��?
下面來(lái)看一下具體情況:
1. 一個(gè)用戶訪問(wèn)了生產(chǎn)環(huán)境數(shù)據(jù)庫(kù)中的105000條記錄��。
2. 一個(gè)用戶訪問(wèn)了測(cè)試環(huán)境數(shù)據(jù)庫(kù)中的100000條記錄�。
可以明確看出,第一筆事件的處理應(yīng)優(yōu)先于第二筆��,因?yàn)樗奈:π愿蟆?/p>
使用新的評(píng)分法后:
事件類型:數(shù)據(jù)庫(kù)記錄訪問(wèn)過(guò)多:得70分
記錄的訪問(wèn)數(shù)量》 100000 :加+5分
生產(chǎn)環(huán)境數(shù)據(jù)庫(kù):加+10分
根據(jù)上述算法�,前述第一條事件的最終優(yōu)先級(jí)分?jǐn)?shù)為85分�,而第二條事件的評(píng)分為70分。
支持分組評(píng)分
正確使用評(píng)分標(biāo)準(zhǔn)及分值��,是決定事件處置順序與事件優(yōu)先級(jí)相比配的基本要素�。但這需要對(duì)被監(jiān)控的對(duì)象有深入了解。
方法的使用
這幾種方法都可以減少所需處置的事件數(shù)量�,但最好能同時(shí)應(yīng)用。
如上例所示��,雖然真正有價(jià)值的事件數(shù)量仍然很多,特別是監(jiān)控范圍較廣的情況下��。事件分組可極大的減少所需處理的事件數(shù)量��。而設(shè)置優(yōu)先級(jí)評(píng)分�,可以幫助了解哪類事件或哪組事件需要優(yōu)先處理。
安防監(jiān)控工程
結(jié)論:
安全是安防監(jiān)控系統(tǒng)是極重要的保護(hù)層��,但當(dāng)各類事件數(shù)量過(guò)多��,安防監(jiān)控系統(tǒng)變得難以管理并需要耗費(fèi)大量時(shí)間來(lái)處理這些事件�,甚至可能無(wú)法使用而放棄安防監(jiān)控系統(tǒng)。專注于重要事件(真正有價(jià)值的事件)�,支持綜合分類(事件分組),定義明確優(yōu)先級(jí)(事件優(yōu)先級(jí)評(píng)分)�,提供更加快速、更加高效的事件調(diào)查解決方案�,從而實(shí)現(xiàn)真正有效的監(jiān)控。
){kind=logo}
