有效的云安全警报

警报系统是任何安全程序的首要组成部分。当一些问题出现的时候,警报通常都是最快和最有效的提醒方式,让你能够及时地采取补救措施。但是警报有的时候过于“吵闹”:有时它会放出一些错误的信号;或者有时,你需要进行很多的微调,才能让它不再发出警报。然而其实,把在深夜里沉睡的你叫醒,讓你立刻去修正一些不会影响到终端用户的细微的代码错误也是没有必要的。

所以,如何才能设置一个在真实发生的事件中有实际操作性的警报系统?让我们一起看看“ 威胁防范云安全手册”中提到的设置安全警报的最佳方法 。

避开“噪音”:如何设置安全警报级别

当你的云环境中发生异常情况时,你希望警报能够作出提醒,以便你能及时应对。但是当那一大堆嘈杂的,包括短暂停机这些小问题在内的异常现象的警报同时响起,对你也不会有什么好处。

其实你需要的是持续准确的警报,而且这个警报应该告知你问题的具体内容,以便你能快速判断这个问题是否是一个需要立刻修复的漏洞和威胁。换句话说,你需要的是一个Goldilocks系统:提供不少不多,恰到好处的警报提示。

在系统中设置太多的警戒级别是许多机构都会犯的一个错误。事实上,传统的安全升级流程 已经有超过七个级别(P0-P7)。这么多警报在这里,似乎看上去让人很放心,但是问题是它不能进行扩展。这就是为什么我们建议你根据威胁的严重程度设置 严重(Critical),警告(Warning),信息/审计/记录(Info/Audit/Log)这三种警报和反应机制去代替传统的分级。

以下是一个简单的三级升级流程:

(图片信息:

严重性 严重 警告 信息/审计

意思:

如果这件事发生,请立刻提醒我

我想要在一到两个工作日内检查修复这件事。

记录下这个问题;我可能会在事后调查时需要用到它。

例子:

核心模块被安装在产品上

产品与僵尸网络相连

特权增加 注册错误

异常的IP的有效登陆

开发者(dev)安装程序包)

斩断杂草:消除错误警报

除了与上面提到的类似的三层递进警报流程之外,为了避免误报,您还应该对您的系统设定一个可以接受的“正常”的基准。要做到这一点, 你可以选择云端安全平台去汇总历史数据,了解究竟在你的服务器上,“正常”和“异常”的活动由哪些部分组成。值得注意的是,在面对大数据、物联网和BYOD的世界以及不断变化的威胁时,人工设定基准十分困难,所以以自动化的方式去完成是更好的选择。

通过了解整个云环境中的活动模式,您可以更加准确地确定哪些是值得主动记录或监视的问题,哪些又是不值得的。

回归基本:简化安装过程

你需要一个警报系统,当你遇到急需解决的问题时,它能够及时发出警报引起你的注意,但你也不用花费所有时间在设置和微调每一个小问题上。

事实上,你越精简这个过程,你就越能有更多时间专注于回应重要的问题。

基本规则集就是一个很好的让你开始简化的起点,而且它可以嵌入在许多产品中。基本规则集会根据它在其他环境中观察到的情况,自动提供不同程度的警报。例如,如果在网络上被检测到的新节点是未经授权的配置更改,新用户或访问权限的更改,那么这时基本规则集就会通知您。通常来说,它们已经提供了一个基本的框架,但它也会留有一些调整的余地,让你可以根据自己机构的特殊情况去开关警报和切换严重程度。

执行云安全警报系统

如上面所讲的一样,能对第一,第二或第三层警报的构成内容有清晰的了解是评估你所在组织的警报系统的最好方式。并且请记住,某家公司指定为一级的警报可能在你这里并不适用,所以请务必关注您所在的环境和使用案例的独特性。选择一个可以设定基准和提供基本的规则集的云安全解决方案,这样你可以花更少的时间去配置,而且有更多的时间来处理实际问题。

本文的版权归 用户1204935 所有,如需转载请联系作者。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏人人都是极客

嵌入式学习路线图

可能是最近跳槽的比较多,遇到不少同学咨询到嵌入式行业发展和职业规划的问题,这里总结一下嵌入式行业的机遇和选择,希望对读者们有所帮助。

34511
来自专栏黑白安全

这些操作系统,专业黑客都喜欢用,你不来试试?

专业的黑客(Hacker)都在什么操作环境下工作?这是一个很多人都感兴趣的问题。今天,我就来梳理一下,那些专业黑客们所喜欢使用的操作系统。

841
来自专栏FreeBuf

微软:暴力破解面前,增强密码复杂性基本没用

我们都痛恨密码,然而不幸的是在当下及可以看见的未来里,账户登录等在线认证操作的主要方法还是需要使用密码的。密码认证有时确实比较烦人,尤其是一些网站为了密码安全性...

1976
来自专栏小石不识月

做这 12 件简单的小事,能让你更安全地上网

勒索软件(Ransomware)攻击、身份盗窃,以及在线信用卡欺诈,这些都可能是具有毁灭性的,然而它们只是众多类型的恶意软件与网络攻击中的冰山一角。如果你从来没...

1311
来自专栏斑斓

设计匠艺 | 小即是美之二

小的益处还有一点,它可以使得我们在架构决策或技术选型时,可以变得更加从容。 譬如说,因为某些原因我们需要将整个企业系统从WebLogic上迁移到JBoss上,无...

3125
来自专栏FreeBuf

利用蓝牙功能两秒内攻击解锁Tapplock智能挂锁

有点不可思议,这段视频引发了我对 Tapplock 智能挂锁的安全性好奇,这款具备指纹识别、手机蓝牙和莫尔斯码解锁的智能挂锁,在方便的同时,它安全性如何呢?由此...

1064
来自专栏开源项目

码云周一见 | 7 款不可错过的开源智能硬件架构

近年来,不断有智能硬件产品刷新着我们对于未来生活的期待,从智能手机到智能手表,从智能手环到智能空气净化器,毫无疑问,智能硬件在互联网时代以一种令人惊异的速度飞速...

2424
来自专栏安全领域

为啥E-mail这么不安全?怎么才能提高它的安全性?

企业调查和风险咨询公司Kroll最新调查报告显示:92%的英企高管表示他们在过去的一年中受到过网络攻击或信息失窃,英企由此成为了全球互联网犯罪的第二大受害者。V...

881
来自专栏FreeBuf

世界5大顶级PC厂商为什么会屡曝安全问题?

像微软这类知名的开发商通常会付诸大量精力在操作系统和应用的安全问题上,一旦发现问题,立马修复并及时通知用户,以确保漏洞不会被黑客恶意利用。但是这样就安全了嘛? ...

1717
来自专栏SDNLAB

使能容器网络,Jaguar “Sky”版本发布

北京时间2018年10月10日,Kubernetes网络开源解决方案Jaguar项目发布0.1.0版本,代号“Sky”。

834

扫码关注云+社区