提高企業安全性的“秘密成分”就在您的鼻子底下:更好地利用硬件和軟件每天生成的日志。

這是供應商Dome9 security的安全研究主管Shira Shamban的觀點，Dome9 security提供云可見性解決方案，該方案于周二在多倫多的年度行業會議上提出。

“這是我們最重要的安全工具?！?/p>

事實上，這對供應商來說是不尋常的。沙姆班說，硬件和軟件產品的制造商正在把infosec專業人士趕出這個行業，因為銷售的東西并不能讓組織更安全。

她抱怨道:“我們在與攻擊者的競爭中失敗了?！薄?016年，一般的企業在其網絡上安裝了70多個安全解決方案。但五分之四的安全專家認為，他們的組織將被攻破。

“為什么我們一直在安裝更多的安全解決方案?””她問道。“他們沒有給我們帶來我們所追求的自信和安全感。我們做錯了。”

每個組織，無論規模大小，都需要安全的IT，公司預算通常證明了這種需要。在處理…

Windows的錯誤報告每天都會從系統中跳出來，但通常會被大多數組織忽略。但是一個安全供應商說…

Shamban說，SOC分析師的平均水平受到警報和儀表板的狂轟濫炸。他們不會幫它完成工作。“停止購買那些不能幫助我們更好地做好安全工作的產品，”她要求經理們。她說，分析師一兩年后離開也就不足為奇了。“對他們的所作所為感到非常、非常不滿意，這在一定程度上是我們的錯，因為我們沒有給他們配備正確的工具……我們沒有幫助他們……”我們讓他們的生活更悲慘。他們沒有成就感，他們只是討厭它?！?/p>

沙姆班說，雖然日志中有大量需要利用的事件信息，但她從信息安全專家那里聽到了很多被忽視的理由:“我有殺毒軟件?！拔蚁胛野阉械娜罩径加浵聛砹??！薄拔抑皇褂媚J配置?！?/p>

然而，她指出，80%的安全問題會重復出現，這就是為什么日志分析如此重要?！拔覀冃枰粍谟酪莸亟鉀Q這80%的問題，這樣，剩下的時間里，安全工程師們就能做真正酷、有趣、復雜的事情?！?/p>

“日志讓我們看到我們沒有意識到的盲點……

首先，Shamban說，保留所有的日志，并盡可能長時間地保存它們——特別是因為檢測一個漏洞可能需要數月甚至更長時間。云存儲很便宜，她補充道。她還說，不同的日志提供了對事件的不同看法。

她說，任何阻止安全團隊將日志流到數據庫或安全信息和事件管理系統(SIEM)的安全解決方案都是糟糕的。

沙姆班說，即使異常檢測是通過算法自動進行的，也遠遠不夠，因為分析人員必須接受統計分析方面的培訓。

最后，日志收集解決方案(SIEM或其他)的用戶界面必須是合適的:檢測到什么、什么是問題、為什么是問題以及應該如何解決。忘掉儀表盤上的數字吧。百分之九十五是好的嗎?這是關于什么是安全的，她說，什么是不安全的。

Shamban還強調了預防(安全意識培訓、雙因素或多因素身份驗證、訪問控制)和檢測(監視登錄模式、CPU使用、出站流量等)策略對于徹底的網絡安全的重要性。

她說，梳理日志——如果有必要的話，請一位專家——把最常見的10件事情列成一組。找到一個自動化的解決方案。然后再做下一個10個。使用機器學習來判斷第二組中的問題是否與前10組中的問題相似。如果是這樣，已經有一個自動修復。如果沒有，則可以升級以供支持人員處理。

“你需要熱愛你的日志，”Shamban總結道?！爱斈阍缟闲褋淼臅r候，你需要想出新的方法來使用你的日志。當你睡覺的時候，在親吻你的妻子或丈夫之后，想一些新的東西來處理我們的日志?！?/p>

她補充說，除了更好的安全性之外，這還會讓infosec團隊感覺像是“為公司的安全性做出貢獻的高效人員”。