【51CTO.COM 獨家翻譯】Verizon Business公司風險小組發布的《2010年數據泄漏調查報告》現已出爐，里面含有大量的寶貴信息。這年的報告包含了美國特勤局開展的調查內容，顯著擴大了數據泄漏的范圍。調查人員分析了這些數據泄漏，以查找根源。這份報告之所以那么重要，原因在于它讓我們有機會了解其他企業在哪些環節沒有保護好數據和系統，那樣我們就能從別人的不幸經歷中汲取教訓。

報告中總是有一些令人驚訝的統計數字和細節內容。比如說，2010年報告聲稱"我們一再發現，雖然日志十有八九可供企業使用，但通過分析日志來發現數據泄漏的仍然不足5%。"

這是否意味著不值得企業花力氣收集日志數據？根本不是這樣。但這份報告認為，戰略可能需要有所改變；現在恐怕是時候尋找大草堆了，而不是一味尋找大草堆里面的細針。該報告表明，有三大征兆（即大草堆）可能表明存在泄漏：

◆日志數據增加異常

◆日志里面的行長得異常

◆沒有日志數據（或日志數據減少異常）

調查人員撰文："我們發現數據泄漏后，日志條目增多了500%。攻擊者關掉日志功能后，我們發現好幾個月日志完全消失了。我們注意到，SQL注入攻擊及其他攻擊使得日志里面的行要比正?；顒娱L得多。這些與其說是細針，還不如說是大草堆。"此外，"僅僅尋找大草堆會是一種非常大的改進。"

安全信息事件管理（SIEM）系統等工具既可以幫你找到大草堆，還能幫你找到細針，那樣不但加大了檢測數據泄漏或違反政策的其他行為的可能性，甚至加大了緩解這些安全威脅的可能性。LogLogic公司的全球營銷執行副總裁Bill Roth給出了幾點建議，介紹了部署SIEM的若干最佳實踐：

了解你的數據以及你希望它用來做什么。

你在部署SIEM系統之前，一定要了解日志數據的大小、頻率和行為。這意味著，你要知道數據來自哪里（比如來自系統、路由器或交換機），數據又是如何提供的。你還應該確定實施SIEM系統的具體目標。你實施的SIEM主要用來支持企業日常運營？還是用于加強安全，將日志作為審計跟蹤記錄來保留？還是說用于滿足具體的法規法令？了解你希望SIEM系統為貴企業做什么，可以幫助你確定需要遵守的政策和程序，并且確定日志數據保留多久。#p#

將一切設備記入日志。

明確范圍，弄清楚要把哪些設備記入日志（如系統日志、系統、路由器和防火墻）。祝上述的使用場合而定，你可能要重點關注一組特定的設備。別忘了：可以記入日志的對象絕不僅限于網絡設備。比如說，你還可以通過物理登錄來收集信息，比如通過安全機制進入大樓的情況。另外，在法規遵從方面，支付卡行業數據安全標準（PCI-DSS）要求你把參與支付卡交易的所有設備都記入日志。企業常常把這個網絡隔離開來，每年僅僅保留那些設備的審計跟蹤記錄。為了安全起見，你要把一切設備記入日志，確保你的整個網絡和整個企業都受到了保護。

要不要關聯？

明確要管理哪幾層日志將有助于確定哪些使用場合下需要關聯。企業往往至少把專門針對安全的設備關聯起來，比如入侵檢測系統/入侵防護系統（IDS/IPS）設備、防火墻和域控制器，那樣才能采取積極主動的安全方法。不過，一些企業利用關聯機制是為了確保運營順暢，比如利用特定的數據庫錯誤消息來確定操作系統錯誤消息，并把該消息與多個平臺上的軟件錯誤消息聯系起來。兩者都是很典型的使用場合。

不要"設定好后就不管"。

如果你設定好了部署的SIEM系統，但以后不去管它，還不如當初不要部署。你一定要針對日志管理層和關聯層設定好角色和政策。還要對它們逐步進行調整，以便它們能很好地協同運行，以減少誤報率。一定要為應當審閱SIEM解決方案生成的報告的那些人明確職責，并且落實政策，確保新設備在投入使用后添加到整個系統中。

報告是關鍵。

應該從符合你要求的具體報告開始入手，而不是一下子獲取一大堆報告。通過收集一系列特定的數據，你就能調整數據，并加以優化。換句話說，一開始就要想著目的。能夠回答"我其實需要知道什么？"之類的問題，而且在制作最終報告時要想著那個目的。你在制作報告時，要確?？紤]到了各利益相關者（比如你的老板）。牢記這一點：你不但要尋找細針，還要尋找大草堆。

為部署SIEM解決方案制定好一項可靠的方案，有望幫助貴企業遵從法規，并且讓貴企業的IT運營確保擁有良好的安全狀況。

http://www.networkworld.com/newsletters/techexec/2010/1115101bestpractices.html

 【51CTO.com獨家譯稿，非經授權謝絕轉載！合作媒體轉載請注明原文出處及出處！】

【編輯推薦】

1. “維基泄密事件”重敲數據安全防護警鐘
2. 淺談數據安全保護
3. 信息化時代 數據安全七種秘密武器
4. 數據安全大講堂 證密碼持久到100年堅不可摧