曾经有客户跟笔者分享管理SIEM之心路历程好似电影世界末日的情节,美国太空总署发现一颗德州大小的陨石正朝地球方向飞来,而且只有18天的时间反应,而一群航天员背着炸弹自我牺牲,飞上太空将陨石炸毁,太空总署被质疑为什 那 晚才发现,太空总署回答因为预算不够,太空有那 多陨石需要观察,只好缩小范围。对SOC而言,挑战就是如何从各式各样且大量事件中,辨识出值得注意之事件,对于这些事件进行关联,进而达到信息安全分析师所能够处理之事件量,这就是SIEM(Security Information and Event Management)系统对建设SOC 的帮助。 SIEM系统必须承受如此大量事件量之收集,依照企业组织之大小,有时必须达到每秒钟上千笔事件之收集,通常SIEM 系统会有专门负责收集事件之收集器,收集器基本上具备以下功能: ? 布署容易,不需更动原本网络架构,甚至不需新增硬件 ? 由于各种设备之通讯协议不同,为了收容各种设备,收集器必须支持各种设备之通讯协议以进行事件之收容,如Syslog、SNMP、ODBC 等。 ? 由于信息安全事件对于企业而言属机敏数据,必须于传输数据之过程中具有加密机制。 ? 由于企业网络架构之变更及成长频繁,对于事件之收容需具有相当之弹性,能够根据变动而改变,很容易进行事件收容之设定。 ? 企业内部设备事件流量若过大,为了事件收容时不影响正常营运的频宽,可以限制该收集器与SIEM系统传输之频宽。 由于SOC需要对信息安全事件进行关联分析,当事件收容进SIEM系统后,要能够达 成关联分析之目标,SIEM系统本身必须具备有下列几项特性,以快速且正确达到实时关联分析之结果。 1、正规化,由于SIEM系统前端所收容之设备种类众多,为了正规化所有不同设备特性之事件,必须有足够字段设计,以存放正规化后不同设备特性之事件字段,以达成关联分析之结果。 2、事件分类,SIEM系统必须提供一个有弹性且完整的分类法则,让分析者很容易使用,并且于新信息安全设备事件之收容也能归类到其类别,并且保持整体类别之完整性及一致性。 3、容易关联分析,由于关联分析主要是为了于茫茫的事件大海当中,找出可疑且值得注意之事件,对于关联之方法或规则,必须很容易地设计且执行,例如一个系统上如果有数个使用者使用同一个账号登入但失败,很可能就是一个暴力登入尝试之攻击。 4、多层次事件之关联分析,为了能够精准地关联出异常且值得注意之事件,SIEM 系统必须能够关联不同设备之事件,攻击事件流量如果在防火墙上发现被允许进入,且于一定时间后发现被攻击的目标系统上有异常联机尝试连回攻击者来源 IP,极可能为类似木马行为,攻击者试着将获取之信息传回。 5、事件严重性分级,SIEM最重要的就是保护企业资产,对于资产价值甚至其弱点评估之信息,必须能够整合进SIEM系统,提供SIEM 足够信息进行关联,如同样的攻击事件对在线营运系统之事件严重程度就比攻击一般PC之事件严重程度来的高。 6、统计分析之关联,SIEM系统对于大量事件必须有统计分析能力,如异常高之通讯端口流量、异常高之通讯协议流量。 7、历史分析,常常于企业发生的信息安全事件,由于攻击手法精炼或者内部攻击者熟悉企业信息安全架构,很多事件未能马上被现行规则所关联,通常关联规则之逻辑会不断根据经验而更新,且于过去历史事件找出攻击逻辑后所制订之规则,通常需要于过去历史事件来进行验证是否能够生效,抓出该攻击特性,这时就需要使用历史事件之重新关联功能来验证。 8、现实与虚拟之关联,SIEM能对于现实环境之逻辑与虚拟世界之事件进行关联,例如同一个账号在很短之时间登入成功事件,但来源却来自于不同之区域或国家,或是登入成功之事件,但却于该企业非上班之时间。 总之,一个SOC架构建立及管理好坏与完整度,可以很明显呈现出该企业对于信息安全事件反应速度和程度。而一个完整的SOC不仅可以对信息安全事件管理节省更多设备投资及人力,并可以符合相关法规要求。然而SOC对于信息安全事件的发现及响应的有效性及方便性,必须于人员、流程及技术进行三方面完整考虑,期许我们不要成为自我牺牲炸毁陨石的航天员。虚拟世界中,所有事情及行为就是事件记录,一个完整的 SOC,能决定我们与真相的距离有多近。
