SIEM 代表安全性資訊與事件管理。實際上,SIEM 軟體解決方案將安全性資訊管理(SIM)和安全性事件管理(SEM)的優勢結合到全面的安全性解決方案中,能夠提供應用程式和硬體產生的安全性警示的即時分析。
SIEM 如何運作?
SIEM 的工作原理是從一個組織在其應用程式、安全系統和硬體中生成的記錄和事件資料中收集資訊。透過將事件與規則和分析引擎配對,SIEM 系統可以即時偵測和分析安全威脅。更棒的是,所有內容都被編入索引進行搜尋,以協助安全團隊進行分析、日誌管理和報告。
SIEM 解決方案能偵測的威脅範例
未經授權的存取
一小部分登入失敗是可以理解的。撥打該號碼最多 100,可能就有人正在發動暴力攻擊。SIEM 軟體可監控使用者行為,並識別異常存取嘗試。
內部威脅
透過持續監控員工行為,SIEM 系統可以偵測意外和惡意的內部威脅。從尚未撤銷存取權限的前任員工,到可能試圖竊取或洩漏敏感資訊的惡意內部人,再到意外的安全變更,SIEM 軟體可以偵測異常行為,並將其向上呈報給安全分析師進行分析。
網路釣魚
網路釣魚攻擊旨在透過冒充受信任的權威,讓人們自願洩露個人或敏感資訊。最常見的網路釣魚形式是攻擊者偽裝成廠商、經理或人員的電子郵件,其中包含惡意連結或附件。除了安全訓練之外,SIEM 解決方案還能偵測異常時從可疑地點登入的員工,這可能是員工帳戶遭入侵的跡象。然後,您可以鎖定該使用者設定檔,以防止損壞,直到員工確認存取權限為止。
DoS 與 DDoS 攻擊
阻斷服務(DoS)攻擊會讓網路流量充足,從而中斷服務,從而束縛系統資源並觸發當機。由於殭屍網路容易將使用者的網路裝置謬誤化為自己的疣,以執行分散式阻斷服務(DDoS)攻擊,因此這類威脅的頻率正在上升。透過監控您的網路伺服器記錄,SIEM 軟體可以標記異常的流量事件,這些事件可能表示 DoS 或 DDoS 攻擊。及早攔截這類攻擊,讓您的資安團隊有時間進行防禦,並規劃恢復服務。
程式碼注入
程式碼注入涉及將惡意程式碼注入用戶端輸入通道,如線上表單,以取得應用程式資料庫或系統的存取權限。最常見的範例是 SQL 插入,其中 SQL 指令插入未經處理的輸入,讓攻擊者可以直接修改或刪除資料庫的資料。透過監控網路應用程式的活動,您可以標記異常事件,並使用事件關聯性來查看系統是否已發生任何變更。
勒索軟體和其他惡意軟體
勒索軟體、病毒、蠕蟲、特洛伊木馬程式和其他類型的惡意軟體,都是設計用來滲透電腦系統並執行惡意程式的軟體。防範這類攻擊的最佳防禦措施是預防,而 SIEM 系統能提供您所需的監控功能,讓您了解安全記錄檔、找出攻擊媒介,並發現可能導致攻擊的異常行為。一旦遭到入侵,SIEM 也能協助您辨識惡意軟體攻擊的傷害範圍,為您的安全團隊提供解決問題所需的資訊。
MITM 攻擊
中間人(MITM)攻擊是指惡意的第三方竊聽兩個主機之間的通訊,竊取或操縱資訊。一旦通訊被攔截,攻擊者就可以利用許多技術來劫持使用者工作階段,透過探查密碼輸入將惡意封包注入資料通訊串流。與陌生地點頻繁連接或中斷連接可能指向 MITM 攻擊,這就是為什麼 SIEM 可以成為在時間太晚之前,幫助捕捉竊賊的重要工具。
何時使用 SIEM 搭配範例
SIEM 系統是任何企業安全基礎架構的核心元件。我們來看看一些 SIEM 使用案例的範例。
符合資料標準
SIEM 系統從事件日誌、安全工具和裝置中彙總整個企業的資料。它是協助產生合規性和監管報告的完美工具。
以下是一些範例:
- GDPR:歐盟(EU)制定了一般資料保護規範(GDPR),以保護歐盟公民的個人資料。
- HIPAA:美國立法機關頒布了健康保險可攜性與責任法案(HIPAA),以保護敏感的病患健康資訊。
- PCI:支付卡產業資料安全標準(PCI DSS)是主要信用卡公司為保護客戶而制定的資訊安全標準。
- SOX 合規性:沙賓法案(SOX)是針對企業會計欺詐的美國法規。它適用於上市公司的董事會、管理層和會計公司,並要求準確報告敏感資訊的儲存位置、誰可以存取,以及如何使用。
由於 SIEM 提供結構化的存取方式來存取整個企業的日誌資訊和安全資料,因此可為監管機構和個別資料所有者建立詳細報告。
進階安全威脅偵測
如前一節所詳述,「SIEM 解決方案能偵測的威脅範例」 SIEM 系統是用來偵測進階安全威脅。我們來看看更多一般範例,了解 SIEM 系統如何支援主動威脅搜尋。
- 辨識異常狀況:行為分析和事件關聯可以標記異常情況,以便安全團隊進行更密切的檢查。
- 資料竊取:鳥瞰您資料的使用方式,可能會讓您遭受內部人員威脅,並未經授權而試圖將敏感資訊傳輸到組織外部。
- 回應新的漏洞:如果發現新的零時差漏洞或系統漏洞,SIEM 解決方案可以協助您快速找出漏洞的範圍,以便將其關閉。
- 從過去的事件中學習:當事件發生時,您可以快速檢查以前是否發生過。過去處理問題的經驗可以幫助您預防未來再發生,或更快地處理重複發生的事件。
- 威脅情報:將 AI 應用於安全資料和日誌,智慧地偵測 IT 系統中的攻擊。模式會將已知的攻擊特徵碼與歷史資料配對。
- 指南調查:透過 SIEM 平台進行資料探勘,讓分析師能夠測試假設。
保護 IoT 部署
物聯網(IoT)以一組分散式網路裝置的形式存在,每部裝置都能即時串流自己的事件記錄。SIEM 系統是保護 IoT 部署環境的理想選擇。
- IoT 裝置監控:IoT 裝置是劫持至殭屍網路進行 DDoS 攻擊的主要目標。來自 SIEM 系統的持續監控可能會讓您陷入異常行為,顯示裝置已遭入侵。
- 資料流監控:IoT 裝置通常透過未加密的通訊協定彼此通訊。SIEM 解決方案能偵測 IoT 網路節點之間的異常流量模式,並在敏感資訊外洩時警示安全團隊。
- 存取控制:監控誰存取您的IoT裝置,以及何時可以讓您陷入可疑活動或連線。
- 弱點管理:SIEM 解決方案可協助您偵測舊的作業系統,以及車隊中 IoT 裝置中未修補的弱點。它也能幫助您隔離最可能遭到攻擊的裝置,例如那些擁有敏感資料或關鍵功能的存取點的裝置。
SIEM 與 IDS 有何不同?
SIEM 系統與入侵偵測系統(IDS)之間的主要區別在於 SIEM 是預防的,而 IDS 則經過優化,以偵測並報告威脅事件。雖然這兩種工具都會建立警示並產生記錄,但只有 SIEM 系統才能集中並關聯不同裝置和系統之間的記錄資訊,讓您一目了然地檢視企業安全性。
組織通常會同時使用 SIEM 和 IDS。IDS 將在攻擊期間提供協助。SIEM 解決方案會取得這些 IDS 記錄,並與其他系統資訊一併提供,讓安全團隊能產生法規遵循報告,並防範未來的攻擊。
SIEM vs. SOAR:差異為何?
安全調度、自動化與回應(SOAR)是區塊上的相對新小子。它還允許您自動化調查路徑工作流程,從而擴展了 SIEM 的功能。如此可縮短處理警示所需的時間。
SIEM 透過關聯來自多個來源的資訊來識別威脅,包括防火牆、應用程式、伺服器和裝置。SIEM 解決方案會嘗試向安全團隊提供最相關的資訊,並提供補救建議,但安全團隊必須追蹤潛在威脅的來源,並加以補救。
SOAR 平台透過採取額外的步驟來自動化調查路徑,進而達成上述目標。它不僅只是透過 AI 來學習模式行為,並透過協調來自動處理威脅,從而提醒安全團隊潛在的威脅。
常見的 SIEM 網路安全供應商
市場上一些常見的 SIEM 工具包括:
結論
總之,SIEM 代表安全性資訊與事件管理。SIEM 工具可用於偵測和預防各種威脅,包括程式碼注入、勒索軟體攻擊和 DDoS 攻擊。它們對於偵測異常狀況特別有用,例如未經授權的存取、可疑的登入嘗試,以及異常的資料流。如果您需要一個安全平台,可以將多個來源的記錄匯總到一個集中位置,以進行安全分析,SIEM 解決方案可以提供幫助。
