Video: Game Theory: WARNING! Loot Boxes are Watching You RIGHT NOW! 2024
Overvåking av sikkerhetsrelaterte hendelser er viktig for pågående sikkerhetsarbeid for å avskrekke hacking. Dette kan være så grunnleggende og verdslig som å overvåke loggfiler på rutere, brannmurer og kritiske servere hver dag. Avansert overvåking kan omfatte å implementere et korrelasjons sikkerhetshendelseshåndteringssystem for å overvåke alle små ting som skjer i ditt miljø. En vanlig metode er å distribuere et system for inntrengingsforebygging eller datalekkasje.
Problemet med å overvåke sikkerhetsrelaterte hendelser er at mennesker finner det veldig kjedelig og veldig vanskelig å gjøre effektivt. Hver dag kan du tilegne deg tid til å sjekke dine kritiske loggfiler fra forrige natt eller helg for å frata inntrengninger og andre problemer med datamaskinen og nettverkssikkerheten. Men vil du virkelig utsette deg selv eller noen andre for den typen tortur?
Manuell sikting gjennom loggfiler er imidlertid ikke den beste måten å overvåke systemet på. Tenk på følgende ulemper:
-
Å finne kritiske sikkerhetshendelser i systemloggfiler er vanskelig, om ikke umulig. Det er bare for kjedelig en oppgave for det gjennomsnittlige mennesket til å oppnå effektivt.
-
Avhengig av hvilken type logging og sikkerhetsutstyr du bruker, kan du ikke engang oppdage noen sikkerhetshendelser, som for eksempel inntrengingsdetekteringssystem (IDS) evasionsteknikker og hack som kommer inn i tillatte porter på nettverket.
I stedet for å panorere gjennom alle loggfilene dine for vanskelige å finne inntreng, kan du prøve dette:
-
Aktiver systemlogging hvor det er rimelig og mulig. Du trenger ikke nødvendigvis å fange opp alle datamaskin- og nettverkshendelser, men du bør definitivt se etter bestemte åpenbare, for eksempel påloggingsfeil, feilformede pakker og uautorisert filtilgang.
-
Logg sikkerhetshendelser ved hjelp av syslog eller en annen sentral server på nettverket ditt. Ikke vær logg på den lokale verten, hvis det er mulig, for å forhindre at de slemmene tukler med loggfiler for å dekke sporene sine.
Følgende er et par gode løsninger på sikkerhetsovervåkingsdememmet:
-
Kjøp et hendelseloggingssystem. Noen få billige, men likevel effektive løsninger er tilgjengelige, for eksempel GFI EventsManager. Vanligvis støtter billigere loggingssystemer bare en OS-plattform - Microsoft Windows er den vanligste. Higher-end-løsninger, for eksempel HP ArcSight Logger, tilbyr både loggbehandling på tvers av ulike plattformer og hendelseskorrelasjon for å bidra til å spore kilden til sikkerhetsproblemer og de ulike systemene som er berørt under en hendelse.
-
Outsource sikkerhetsovervåking til en tredjeparts administrert sikkerhetsleverandør (MSSP) i skyen. Noen få MSSPer er tilgjengelige, for eksempel BTs Assure Managed Service, Dell SecureWorks og Alert Logic. Nå betraktes som cloud service providers, disse selskapene har ofte verktøy som du sannsynligvis ikke vil ha råd til og vedlikeholde. De har også analytikere som arbeider døgnet rundt og sikkerhetsopplevelser og kunnskap de får fra andre kunder.
Når disse skygtjenesteleverandørene oppdager et sikkerhetsproblem eller innbrudd, kan de vanligvis løse problemet øyeblikkelig, ofte uten involvering. Sjekk om tredjepartsfirmaer og deres tjenester kan frigjøre litt tid og ressurser. Ikke bare avhengig av deres overvåkingsinnsats; En skygtjenesteleverandør kan ha problemer med å fange innsidehandel, sosialtekniske angrep og webapplikasjonsspor over Secure Sockets Layer. Du må være involvert.