有效的云安全警报
有效的云安全警报
警报系统是任何安全程序的首要组成部分。当一些问题出现的时候,警报通常都是最快和最有效的提醒方式,让你能够及时地采取补救措施。但是警报有的时候过于“吵闹”:有时它会放出一些错误的信号;或者有时,你需要进行很多的微调,才能让它不再发出警报。然而其实,把在深夜里沉睡的你叫醒,讓你立刻去修正一些不会影响到终端用户的细微的代码错误也是没有必要的。
所以,如何才能设置一个在真实发生的事件中有实际操作性的警报系统?让我们一起看看“ 威胁防范云安全手册”中提到的设置安全警报的最佳方法 。
避开“噪音”:如何设置安全警报级别
当你的云环境中发生异常情况时,你希望警报能够作出提醒,以便你能及时应对。但是当那一大堆嘈杂的,包括短暂停机这些小问题在内的异常现象的警报同时响起,对你也不会有什么好处。
其实你需要的是持续准确的警报,而且这个警报应该告知你问题的具体内容,以便你能快速判断这个问题是否是一个需要立刻修复的漏洞和威胁。换句话说,你需要的是一个Goldilocks系统:提供不少不多,恰到好处的警报提示。
在系统中设置太多的警戒级别是许多机构都会犯的一个错误。事实上,传统的安全升级流程 已经有超过七个级别(P0-P7)。这么多警报在这里,似乎看上去让人很放心,但是问题是它不能进行扩展。这就是为什么我们建议你根据威胁的严重程度设置 严重(Critical),警告(Warning),或 信息/审计/记录(Info/Audit/Log)这三种警报和反应机制去代替传统的分级。
以下是一个简单的三级升级流程:
(图片信息:
严重性 严重 警告 信息/审计
意思:
如果这件事发生,请立刻提醒我
我想要在一到两个工作日内检查修复这件事。
记录下这个问题;我可能会在事后调查时需要用到它。
例子:
核心模块被安装在产品上
产品与僵尸网络相连
特权增加 注册错误
异常的IP的有效登陆
开发者(dev)安装程序包)
斩断杂草:消除错误警报
除了与上面提到的类似的三层递进警报流程之外,为了避免误报,您还应该对您的系统设定一个可以接受的“正常”的基准。要做到这一点, 你可以选择云端安全平台去汇总历史数据,了解究竟在你的服务器上,“正常”和“异常”的活动由哪些部分组成。值得注意的是,在面对大数据、物联网和BYOD的世界以及不断变化的威胁时,人工设定基准十分困难,所以以自动化的方式去完成是更好的选择。
通过了解整个云环境中的活动模式,您可以更加准确地确定哪些是值得主动记录或监视的问题,哪些又是不值得的。
回归基本:简化安装过程
你需要一个警报系统,当你遇到急需解决的问题时,它能够及时发出警报引起你的注意,但你也不用花费所有时间在设置和微调每一个小问题上。
事实上,你越精简这个过程,你就越能有更多时间专注于回应重要的问题。
基本规则集就是一个很好的让你开始简化的起点,而且它可以嵌入在许多产品中。基本规则集会根据它在其他环境中观察到的情况,自动提供不同程度的警报。例如,如果在网络上被检测到的新节点是未经授权的配置更改,新用户或访问权限的更改,那么这时基本规则集就会通知您。通常来说,它们已经提供了一个基本的框架,但它也会留有一些调整的余地,让你可以根据自己机构的特殊情况去开关警报和切换严重程度。
执行云安全警报系统
如上面所讲的一样,能对第一,第二或第三层警报的构成内容有清晰的了解是评估你所在组织的警报系统的最好方式。并且请记住,某家公司指定为一级的警报可能在你这里并不适用,所以请务必关注您所在的环境和使用案例的独特性。选择一个可以设定基准和提供基本的规则集的云安全解决方案,这样你可以花更少的时间去配置,而且有更多的时间来处理实际问题。