標誌 - Pure Storage
部落格首頁

安全紀錄資料有助於避免網路攻擊,如果它位於正確的平台上

安全日誌是抵禦網路攻擊和其他類型安全事件的強大工具。深入了解這些策略,以及如何在防禦策略中更好地利用它們。

分享:

image_pdfimage_print

謙遜的資安記錄,不像資安資訊與事件管理 (SIEM) 和延伸偵測與回應 (XDR) 等資安工具一樣急速,需要被更多資安團隊打掃並付諸行動。事實上,日誌資料的品質可能決定了組織的網路韌性。

得益於更簡單、更快速的資料存取,安全日誌—讓快閃數位產品發揮神奇功效的原始資料—可能是抵禦網路攻擊、在爆發時間縮短至 48 分鐘時立即回應入侵事件的關鍵,以及了解安全事件發生後的關鍵細節。 

安全性日誌如何強化韌性

日誌分析解決方案可以持續監控安全日誌,以提高對安全事件的意識,無論是未經授權的存取、違反安全政策、未經適當許可而更改資料或系統配置,還是直接攻擊。如果入侵指標 (IoC) 被標記,記錄分析解決方案可以作為預警系統,提供阻止攻擊者前進的機會。偵測能力也可用於測試資安情境與假設,並執行主動的威脅搜尋。

「這種更快的滲透速度讓企業組織有更多的時間回應,因此自動化防禦對於配對和超越對手的速度至關重要。」 ReliaQuest 網路威脅研究員 Irene Fuentes McDonnell

Forbes.com

找出並修復安全事件後,務必追蹤事件的開始。安全記錄可用來識別滲透系統的人員或裝置、查看入侵情況、了解實際操作與時間,並判斷威脅是否持續存在。這項鑑識任務是事件後復原的關鍵部分。沒有它,您的 IT 團隊就無法得知哪些系統容易受到攻擊,或該如何修復。 

速度的優勢? 能見度

快速安全性記錄很重要,當駭客取得網路存取權限時,就能在人員或技術偵測到網路存在之前,停留數天甚至數週。雖然攻擊者潛伏在未偵測到的狀態下,但他們收集了管理員憑證,並準備竊取資料或啟動勒索軟體。及時採取行動取決於幾乎即時的能見度,這需要啟用並正確使用安全日誌。

1. 選擇先進的日誌分析解決方案。

在一天之內,伺服器、網路和終端使用者裝置可以產生數十萬,甚至數百萬筆日誌項目。一項研究發現,一般企業每天最多會累積 4GB 的日誌資料。如果沒有工具來正確分析資料,那麼大量的資料堆積將變得毫無用處。 

專注於將正確的分析工具放在三個核心領域的安全記錄之上:網路、端點和終端使用者。在收集並分析日誌後,調度工具可以豐富資料,傳遞給您的威脅獵人,讓他們擁有一組精心策劃的資訊,以開始審查。 

2. 記錄所有內容

可見度不只是深度,還包括廣度。您不知道資料外洩的發生地點,因此在整個基礎架構上建立日誌可節省後續時間。此外,您的記錄工具必須彙整、關聯和分析所有這些資料類型和來源的資料,並允許整合上下文資料。

3. 保護日誌安全。

不意外地,安全日誌對駭客來說可能很感興趣,因此保護安全至關重要。若要保護安全記錄,您可以: 

  • 加密或密碼保護。
  • 讓日誌檔案只附加,這意味著使用者可以加入日誌,但無法更改或刪除已經存在的內容,或使用無法更改的稽核日誌來確保準確性。
  • 建立日誌檔案的副本,並儲存在多個環境中。
  • 將日誌檔案全部儲存在單獨的系統或伺服器上。
  • 隱藏系統內的記錄檔。
  • 使用一次性寫入媒體儲存日誌檔案。

您加倍記錄價值所需的功能

安全記錄和用於分析記錄的系統,如 Splunk 和 Elastic,都需要以下功能: 

  • 即時處理,無論日誌大小為何,搜尋和查詢效能都能重現。這需要高傳輸量、低延遲,以及針對任何情境或規模進行微調的一致效能。
  • 嵌入式資料減量和隨取隨用的擴展功能,可記錄並保留更多資料更長的時間,以達成最豐富的分析。
  • 易於擴充,適用於多個工作負載、並行查詢和可變資料模式,以適應多 PB 資料集的快速分析。
  • 可關聯網路、端點和終端使用者資料的多筆記錄。 
  • 管理簡易性,讓您輕鬆建立新查詢,並降低複雜性。

要達到此等級的效能,需要能夠支援後端基礎架構。如果沒有強大的資料儲存後端,事實上,即使是成功的關聯式查詢也可能太慢,無法及時揭露威脅,以避免損壞。 

當您在安全環境中尋找那根狡猾的針頭時,請將效能優異的資料儲存視為將針頭畫在頂端的磁鐵。它能快速進行威脅偵測與分析。但是,如果您的儲存速度緩慢、資料湖泊太過龐大,或是您的查詢寫入不良,則可能需要數小時甚至數天的研究才能找出問題或潛在的威脅。 

Pure Storage 與我們的合作夥伴如何提供協助

Pure Storage® FlashBlade® 或 FlashArray FlashArray 整合了您的所有日誌檔案,並與最先進的日誌分析平台無縫整合,包括我們的合作夥伴 ElasticSplunk 的解決方案。FlashBlade 和 FlashArray 能以更低的總擁有成本,提供更快的深度資訊。 

FlashBlade 和 FlashArray 能進一步保護您的安全紀錄。利用 Splunk 或Elastic記錄分析功能,在我們的 SafeMode 功能中運行解決方案,可確保您的記錄不會被刪除。如此一來,您就能在安全漏洞發生後放心復原,並取得分析事件所需的資訊,並採取行動以防止事件再次發生。

無論您部署多少安全解決方案,無論是網路存取控制、資料遺失保護、防火牆、入侵防護系統、身分存取管理、雲端存取安全代理、反惡意程式碼、端點偵測,還是以上皆然,在安全漏洞發生時或發生時,擁有偵測和補救的行動計畫都至關重要。

CISO

3 Security Log Mistakes to Avoid

Learn how to tap into this data analytics goldmine.

Read the Article

Top Stories