利用管理数据提高数据安全性的五种方法

数据安全对于大多数组织来说是一个持续的挑战，但利用您的 IT 管理数据可以使其变得更容易。数据安全改进可能是一项昂贵的必需品，但有一些方法可以使用您的网络和系统管理数据免费进行这些改进。虽然您的网络和系统管理平台无法取代您的 SIEM 或 IDS，但进行这些改进可以通过多种有价值的方式提高您的效率。

• 由于软件的不同专业化，基于管理数据的安全性具有许多安全平台以廉价或易于访问的方式缺乏的优势。
• 下面讨论的一些好处也可能与 IDS 一起使用，但没有人让他们的 IDS 在其环境中的每个端口上运行。
• 使用现有工具而不是新工具可以减轻劳动力负担，从而节省培训、维护和管理费用的时间和金钱。
• 此外，将安全功能集成到您的整体 IT 管理平台可以大大提高您指挥中心的整体安全意识。这还可以通过提高跨多个团队的可见性来减少响应安全事件所需的时间。

提高数据安全性的 5 种方法

1. 观察网络流量是否有异常行为

如果您监控到我们始终建议的单个交换机端口级别，您将拥有非常精细的数据，可用于发现行为变化。

流量突然激增可能是发现受感染系统或开始执行网络扫描或其他类型侦察的系统的简单方法。为确保您不会遗漏任何内容，您还要监控接入交换机端口。这使您可以密切关注最终用户系统，而无需在每个系统上安装端点监控软件的开销和麻烦。此外，如果入侵者可以禁用或规避端点监控，这甚至可以帮助发现端点监控可能遗漏的问题。

从交换机的角度寻找入站流量的突然峰值是查找此类流量来源的好方法，您甚至可以跨多个交换机、路由器和防火墙对其进行跟踪。

总体流量水平的长期变化，或后台流量水平的大幅跃升，都清楚地表明系统现在正在以不同的方式使用。因此，问题就变成了这种行为变化是否可以解释。我们有一个客户使用这种方法发现一名 IT 工作人员已经开始将他们的数据库备份到他的本地硬盘驱动器上。您可以更好地相信他们与他就正确的备份过程和数据安全性进行了很好的交谈。

为了发现这种不寻常的行为，您需要有一种方法来发现它，而无需不断生成手动基线。毕竟，一个月中特定日期的流量激增对于系统来说可能是完全正常的。使用我们的异常检测技术解决了这个问题。

为这些数据保留了大量的高分辨率遥测和统计数据，用于自动生成基线行为模型。然后，我们将当前行为与一天中的某个时间、一周中的某天或其他基于时间的测量的正常行为进行比较。您可以将灵敏度设置为高、中或低，具体取决于您的容差和环境，以及该统计数据的通常范围，以微调过程。您还可以按需手动运行此数据。

然后，该信息用于检测何时发生异常情况，我们可以将其标记为异常，然后可以生成警报或报告。这使您可以发现这些意外行为，并收到有关它们的通知或将它们推送到您的 SIEM 进行分析。

您还想观察设备之间发生的情况。除了查找整体带宽的异常之外，您还可以使用这些数据来监控网络层结构，例如服务质量 (QoS) 和 VRF 实例。这扩展了您的可见性，以查找诸如 QoS 错误配置之类的问题，您将流量发送到错误的队列中。它还允许您查找通过错误 VRF 发送的流量；即使它不是主动入侵，也可能是一个安全问题，并为我们提供了另一个寻找异常流量的地方，特别是如果它来自许多不同的来源。

2. 利用过程级别的异常检测技术

要监控的明显数据点之一是正在运行的进程或新运行进程的总数。系统上出现新进程时立即收到通知可能是一个很好的指标，表明需要进行一些调查。如果您当前的 IDS/IPS 没有扩展到服务器操作系统级别，则尤其如此，这是很多公司无法承受的。同样重要的是要考虑并非所有 IDS 系统都会标记它，例如当服务器突然开始运行浏览器或安装程序时。

您还应该注意现有进程的 CPU 或内存使用情况的突然变化。无论如何，出于性能原因，这通常是一个好主意。然而，如果 SQL CPU 使用率出现超过一天中正常时间的峰值，则可能表明未经授权的登录尝试激增。您还可以观察其他类型的进程行为，例如数据库查询或锁定的数量或登录用户的数量，因为异常活动也可能是您想要调查的潜在安全问题。

3. 监控日志异常

虽然这样做通常是您的 SIEM 的领域，但您可以在这里做一些事情，这可能有助于使用异常检测来补充这一点。 观察每一条可能的日志消息——并试图标记那些可能意味着问题的消息——通常太吵了，而且很难做好。此外，防火墙日志可能已由 SIEM 处理。因此，您观察它们的方式是通过在日志中查找统计异常等操作。

生成的日志总量突然激增可能表明各种事情，包括安全问题、暴力攻击，甚至只是导致问题的软件错误。由于您正在查看日志消息的数量和类型，这为您提供了一个有趣的视角来寻找异常行为。当然，您仍然可以自己钻取日志消息，以便在系统标记异常后进行故障排除或取证。您还可以创建规则来过滤您正在监视的日志消息。例如，如果您只想计算登录失败消息，您也可以轻松地做到这一点。

您可以创建静态阈值来发现事情何时完全偏离轨道，但异常更容易使用。如果应用程序在每个星期一早上都有大量的登录高峰，但在星期五几乎没有，那么当星期五由于凭据受损而突然出现高峰时，创建静态警报就不会很好地工作。

4. 使用配置管理数据确保安全

这似乎是一个显而易见的问题，但即使您已经在使用配置管理数据，也有一些关键点可以确保它是安全过程的一部分。要问的第一个问题是这些变更警报的去向。是网络团队，还是安全团队，还是两者兼而有之？变更管理数据呢？

这对于观察防火墙配置的变化尤其重要。这听起来很明显，但您会惊讶于这种情况发生的频率。有时只是因为安全团队和网络团队沟通不畅。但是让每个人都知道设备配置何时以及发生了什么变化可以节省大量的故障排除时间。请特别注意这些配置更改警报何时发生。您是否有预定义和批准的变更窗口？您可能需要特别注意从这些窗户外进来的任何东西。

您还应该确保已将这些警报与您的 SIEM 或票务系统集成。最重要的是，确保每次收到配置更改警报时，都会根据您的更改控制流程对其进行审核和审查，以便您知道不会对您的基础架构或防火墙进行未经批准的更改。

5. 观察交通流量数据

您可以使用 Netflow 或 IPFIX 等基础设施设备中已内置的技术来收集有关网络上谁在与谁通话以及正在使用哪些协议的信息。观察网络上突然出现的新协议是了解环境中正在发生的事情的好方法。但是，这在较大的环境中可能会有些棘手。例如，您可能有团队几乎不断地部署新应用程序，如果您没有良好的变更控制沟通，您可能并不总是知道新应用程序何时上线。

最容易寻找的事情之一是控制类型流量的峰值，因为这些绝对是出现问题的危险信号。这可能是路由更新、ICMP 流量、DNS 请求的突然激增，甚至是 VPN 流量的意外激增。也许远程工作人员正在下载数据以离线工作，或者他正在复制客户数据库以出售给竞争对手——无论哪种方式，都值得研究。

监控您的应用程序响应时间

监控您的应用程序响应时间起初似乎没有安全隐患，但它绝对可以。蛮力攻击或 DDoS 攻击可能会导致您的应用程序变慢，并且此数据可以与其他服务器性能指标相关联，以查看流量​​是否合法。

这对于云托管系统尤其重要，因为我们可能无法深入访问服务器级信息。在许多托管环境中，您可能根本没有操作系统可见性，因此管理顶层性能是您必须使用的唯一真实指标，具体取决于您的应用程序的检测方式。

云提供商通常会构建某种级别的 DDoS 保护，但很少提供针对暴力破解或密码重放式攻击的任何保护。因此，您无法控制——或者在大多数情况下，甚至无法看到——所有进出系统的流量。一个简单的方法是使用异常检测来观察响应时间的突然变化。这也可以是一个很好的性能数据管理工具。

看大图

一旦您拥有所有这些出色的数据，您需要确保您正在共享它。通过向价值流中的每个人提供数据，每个人都对现实有共同的看法，这有助于沟通，并展示透明度，从而增强信任。成功的一个关键是让访问信息变得容易和快速。团队不会觉得他们需要有自己的监控，这会产生大量的警报噪音和多余的工作，以及产生管理、支持和维护支出问题。

如果受众是非技术人员（并且总是有一些非技术人员需要参与其中），请不要犹豫，将数据简化或抽象为更易于理解的格式。一种方法是使用我们的业务工作流视图，它允许您将整个应用程序及其所有组件部分滚动到一个百分比分数中。共享此数据可以采用多种形式，具体取决于适合您的环境的方式。API、公共共享页面或内网页面、未经身份验证的状态页面和信息辐射器。

信息辐射器只是设计用于在公共区域显示重要状态信息的系统。例如，每个人都经过的走廊墙上的监视器。团队可以根据受众显示应用程序视图或更多技术视图。这使您可以让所有团队保持同步，不仅是状态数据，还有有用的操作指标，如响应时间或事务速度。

使用信息辐射器还可以让我们积极展示核心价值观，例如团队对访问者（客户、利益相关者等）没有什么可隐瞒的，对自己也没有什么可隐瞒的。它承认并面对问题。

与 SIEM 工具集成

我们讨论的其中一件事是将所有这些数据与您的 SIEM 集成，并将安全警报滚动到您的仪表板中。对于来自 SIEM 的入站警报，这很容易。有一个非常简单的 API，可以让您的其他系统将警报直接“推送”到我们的平台，然后您可以在自定义仪表板和视图上显示。这也可以集成到您的所有指挥中心操作中。

对于集成出站消息，例如配置更改警报或异常警报，您有许多不同的选择。您可以使用 webhook、JSON，甚至是电子邮件消息、Syslog 或 SNMP 陷阱，如果您的平台能够支持的话。

我们提供了一种编辑这些消息格式的简单方法，因此您可以确保将它们定制为您的 SIEM 可以轻松处理和解析的格式。您还可以在这些消息中包含各种信息；包括文档信息，如序列号、资产标签、运行手册信息或现场负责联系信息。