安全管理人員一直在探求改善信息安全的最佳方法。在此過(guò)程中，他們發(fā)現(xiàn)成功的秘密就在企業(yè)當(dāng)中，健全的安全就存在于日志數(shù)據(jù)、元數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)以及大量的其它數(shù)據(jù)中。“只在此山中，云深不知處”。但是，找到適當(dāng)?shù)臄?shù)據(jù)并得出對(duì)IT和企業(yè)來(lái)說(shuō)有意義的科學(xué)結(jié)論絕非易事。下面談幾個(gè)可以更好地理解IT風(fēng)險(xiǎn)的最佳安全分析方法，使企業(yè)更好地保護(hù)資產(chǎn)。

1、不要認(rèn)為SIEM全面解決了你的安全需要

許多企業(yè)試圖深入地進(jìn)行安全分析，這就需要重新思考他們進(jìn)行分析所使用的數(shù)據(jù)。企業(yè)安全團(tuán)隊(duì)也許會(huì)確信已經(jīng)全面解決了安全分析問(wèn)題，因?yàn)樗麄円呀?jīng)擁有了SIEM或日志管理，但除了日志之外，安全人員還需要關(guān)注其它的許多數(shù)據(jù)。從包括人力資源記錄到欺詐性數(shù)據(jù)在內(nèi)的一切數(shù)據(jù)在傳統(tǒng)上一般都不屬于IT安全的范圍，但正是這種數(shù)據(jù)與IT的安全數(shù)據(jù)有著非常有意義的結(jié)合點(diǎn)。企業(yè)并沒有充分利用數(shù)據(jù)，沒有充分發(fā)揮數(shù)據(jù)的全部功能。如果企業(yè)能夠真正挖掘環(huán)境中的非結(jié)構(gòu)化數(shù)據(jù)、元數(shù)據(jù)或者環(huán)境外的非結(jié)構(gòu)化數(shù)據(jù)等，將極大地改善安全狀況。

2、不能僅僅關(guān)注關(guān)于攻擊者的數(shù)據(jù)

把重點(diǎn)從SIEM數(shù)據(jù)中轉(zhuǎn)移出來(lái)還有另一個(gè)目的，因?yàn)榇罅康脑獢?shù)據(jù)、記錄數(shù)據(jù)以及關(guān)于網(wǎng)絡(luò)的其它數(shù)據(jù)都日益受到安全分析的重視。安全人員應(yīng)更密切地關(guān)注企業(yè)的準(zhǔn)備狀態(tài)，而不僅僅重視關(guān)于潛在攻擊者的數(shù)據(jù)。這也是成熟企業(yè)更好更全面地認(rèn)識(shí)企業(yè)風(fēng)險(xiǎn)的一個(gè)重要標(biāo)志。

“知彼知已，百戰(zhàn)不殆”。安全團(tuán)隊(duì)不要僅僅重視分析攻擊者，還要考慮一下自身。在此，不妨遙想一下戰(zhàn)爭(zhēng)年代作戰(zhàn)指揮部的情形。戰(zhàn)爭(zhēng)的謀略家和指揮家們圍繞在一張桌子旁，桌子上擺放著象征著不同物件或人物的模型。此時(shí)，他們已經(jīng)獲得了關(guān)于敵方行動(dòng)的情報(bào)，這就像安全管理者獲得SIEM的日志一樣。但對(duì)于戰(zhàn)爭(zhēng)游戲，有兩個(gè)至關(guān)重要的要素：軍隊(duì)部署和地形偵察。如果指揮者不知道自己的軍隊(duì)在哪里，作戰(zhàn)指揮部就是在紙上談兵，其決策毫無(wú)用處。如果指揮者沒有掌握準(zhǔn)確的地形信息，其思考和決策也必然存在巨大誤差。對(duì)于信息安全而言，對(duì)網(wǎng)絡(luò)的調(diào)查就相當(dāng)于偵察地形，知道資產(chǎn)、防御及其狀態(tài)就如同明確軍隊(duì)部署一樣。對(duì)付攻擊者，不能僅看他們?cè)谌罩局械男畔ⅲ€要確切地知道企業(yè)的資產(chǎn)是如何組織的，網(wǎng)絡(luò)結(jié)構(gòu)又是怎樣的。毛澤東說(shuō)“沒有調(diào)查就沒有發(fā)言權(quán)”，對(duì)于網(wǎng)絡(luò)安全亦如此。

3、確定企業(yè)的重要問(wèn)題

在安全團(tuán)隊(duì)尋找日志數(shù)據(jù)之外的其它數(shù)據(jù)源時(shí)，在決定衡量和分析哪些方面問(wèn)題上，企業(yè)在行業(yè)中的地位、業(yè)務(wù)流程、企業(yè)資產(chǎn)等都扮演著重要角色。

在部署安全措施時(shí)，不可“抄襲”。對(duì)企業(yè)來(lái)說(shuō)，理解自己所處的位置及被攻擊的地方是很重要的。不同的企業(yè)有不同的攻擊者，因而需要制定對(duì)付這些攻擊者的具體措施。企業(yè)需要衡量每位員工容易在哪些方面暴露，確定或至少猜測(cè)一下關(guān)于企業(yè)數(shù)據(jù)的特征和攻擊者會(huì)如何攻擊的特定信息，強(qiáng)化關(guān)于企業(yè)具體業(yè)務(wù)的安全方法。這就是“具體問(wèn)題具體分析”。

4、關(guān)注關(guān)鍵基礎(chǔ)架構(gòu)的變化

在考慮到企業(yè)需要時(shí)，找到應(yīng)當(dāng)持續(xù)監(jiān)視的關(guān)鍵企業(yè)資產(chǎn)變得相對(duì)容易。企業(yè)的關(guān)鍵資產(chǎn)，不管是證書服務(wù)器還是特定的本地驅(qū)動(dòng)，安全管理者都應(yīng)當(dāng)監(jiān)視并分析其變化。

可以將變化分為系統(tǒng)變化(或配置變化)以及商業(yè)知識(shí)的變化。由于這些關(guān)鍵系統(tǒng)不應(yīng)當(dāng)有很多變化，所以發(fā)現(xiàn)問(wèn)題不會(huì)花費(fèi)太多時(shí)間。而對(duì)變化進(jìn)行分組可以節(jié)省大量時(shí)間。

5、安全分析

企業(yè)用于分析的數(shù)據(jù)越多，就越容易看到數(shù)據(jù)的不完善方面。為了從數(shù)據(jù)中獲得最好的結(jié)論，就需要在前期清理數(shù)據(jù)，而且要認(rèn)識(shí)到在數(shù)據(jù)收集中存在的問(wèn)題。

在把這些數(shù)據(jù)源組合在一起時(shí)，你可能會(huì)注意到一些矛盾問(wèn)題。在你從兩個(gè)不同的團(tuán)隊(duì)(這兩個(gè)團(tuán)隊(duì)都在公司內(nèi)部獨(dú)立工作)收集數(shù)據(jù)時(shí)，你要整合這些數(shù)據(jù)，卻發(fā)現(xiàn)這似乎不可能。

分析人員以整合數(shù)據(jù)和評(píng)估數(shù)據(jù)源為基礎(chǔ)，可以進(jìn)一步改善數(shù)據(jù)質(zhì)量和數(shù)據(jù)分析的質(zhì)量。如果將數(shù)據(jù)源組合在一起，分析人員會(huì)發(fā)現(xiàn)問(wèn)題出在哪里，并認(rèn)識(shí)到自己并沒有掃描所有的主機(jī)，甚至?xí)l(fā)現(xiàn)有的網(wǎng)絡(luò)竟然不受控制，而且也沒有得到完整的日志。

6、利用企業(yè)內(nèi)部的業(yè)務(wù)情報(bào)專家

如果企業(yè)沒有雄厚的財(cái)力雇傭數(shù)據(jù)專家去審查和分析安全數(shù)據(jù)，也不必放棄希望。安全分析人員可以請(qǐng)求企業(yè)的業(yè)務(wù)情報(bào)團(tuán)隊(duì)幫助進(jìn)行分析。業(yè)務(wù)情報(bào)團(tuán)隊(duì)擁有其自己的數(shù)據(jù)存儲(chǔ)機(jī)制，其人員未必受到過(guò)信息安全的良好培訓(xùn)，卻有大量的專業(yè)技術(shù)，當(dāng)然知道數(shù)據(jù)分析的重點(diǎn)。依靠業(yè)務(wù)情報(bào)部門可以使安全分析有一個(gè)良好的開端，至少對(duì)于安全分析是這樣。

7、牢記安全數(shù)據(jù)也需要保護(hù)

安全團(tuán)隊(duì)收集的數(shù)據(jù)和分析信息越多，其資料庫(kù)越容易成為攻擊者的目標(biāo)。隨著安全分析的不斷深入，分析人員必須知道，分析得到的數(shù)據(jù)要比公司數(shù)據(jù)更有吸引力，原因就在于這種數(shù)據(jù)掌握著揭示企業(yè)防御機(jī)制的秘密。

如果企業(yè)的安全工具還不如網(wǎng)絡(luò)本身更安全，它就會(huì)成為可被攻擊者利用的一個(gè)漏洞。例如，基于胖客戶端的工具可以帶來(lái)安全威脅，這是因?yàn)楣P記本電腦上往往攜帶著大量的數(shù)據(jù)，而該種設(shè)備又有可能失竊或被滲透。在數(shù)據(jù)中心找到一個(gè)安全位置來(lái)存放安全數(shù)據(jù)有助于減少這些漏洞。

當(dāng)然，以上的方法并非安全問(wèn)題的最全面的解決之道，卻可給安全團(tuán)隊(duì)提個(gè)醒兒，或可在安全分析時(shí)助一臂之力。