如果感覺(jué)到安全工具效率要比預(yù)計(jì)的慢,這可能并不是錯(cuò)覺(jué)。許多IT團(tuán)隊(duì)將緩慢的安全信息與事件管理(SIEM)性能歸咎于查詢復(fù)雜性或告警數(shù)量。但有時(shí)問(wèn)題要簡(jiǎn)單得多,可能是過(guò)大的輸入文件正悄悄拖慢系統(tǒng)。
安全團(tuán)隊(duì)經(jīng)常投入大量資金進(jìn)行基礎(chǔ)設(shè)施升級(jí)或完全更換SIEM,以獲得毫秒級(jí)的提升。但是,如果能夠即時(shí)發(fā)現(xiàn)都拖延SIEM效率的一些隱藏因素并付出很小的努力,就能對(duì)SIEM效率的提升帶來(lái)很大的改觀。
SIEM效率降低的影響
威脅檢測(cè)是一場(chǎng)競(jìng)賽。當(dāng)系統(tǒng)效率低下時(shí),安全防護(hù)就會(huì)削弱落。當(dāng)SIEM開(kāi)始滯后時(shí),檢測(cè)會(huì)延遲,分類變慢,而在威脅響應(yīng)的高風(fēng)險(xiǎn)世界中,即使幾秒鐘也至關(guān)重要。
很多隱藏因素正在悄悄降低SIEM效率。這些問(wèn)題削弱了系統(tǒng)及時(shí)檢測(cè)和響應(yīng)網(wǎng)絡(luò)威脅的能力,可能?chē)?yán)重?fù)p害SIEM工具的整體有效性,而這些工具對(duì)實(shí)時(shí)安全監(jiān)控和事件響應(yīng)至關(guān)重要。
威脅檢測(cè)延遲:延遲導(dǎo)致威脅長(zhǎng)時(shí)間未被發(fā)現(xiàn),增加成功網(wǎng)絡(luò)攻擊和組織資產(chǎn)損害的風(fēng)險(xiǎn)。比如說(shuō),因?yàn)榻馕龃笪募~外增加的每一秒時(shí)間都會(huì)增加告警疲勞和錯(cuò)過(guò)信號(hào)的風(fēng)險(xiǎn)。
事件響應(yīng)速度降低:緩慢或不準(zhǔn)確的警報(bào)阻礙及時(shí)調(diào)查和緩解,削弱整體安全態(tài)勢(shì)。
運(yùn)營(yíng)負(fù)擔(dān)增加:安全團(tuán)隊(duì)面臨警報(bào)疲勞,花費(fèi)過(guò)多時(shí)間過(guò)濾誤報(bào),而非專注于真正的威脅。
SIEM效率降低的隱藏因素
隱藏在系統(tǒng)背后的延遲因素不僅影響了威脅的及時(shí)發(fā)現(xiàn),還可能導(dǎo)致嚴(yán)重的安全后果。了解這些潛在的延遲因素,能夠幫助安全團(tuán)隊(duì)更有效地優(yōu)化其SIEM系統(tǒng),從而提升整體安全態(tài)勢(shì)。
數(shù)據(jù)過(guò)載:SIEM從多個(gè)來(lái)源攝取大量數(shù)據(jù)。如果沒(méi)有有效的過(guò)濾、優(yōu)先級(jí)排序和數(shù)據(jù)管理,這種數(shù)據(jù)洪流會(huì)導(dǎo)致處理延遲和警報(bào)疲勞,進(jìn)而導(dǎo)致威脅檢測(cè)變慢或被遺漏。過(guò)大的文件會(huì)延遲讀取、解析、標(biāo)準(zhǔn)化和關(guān)聯(lián)的時(shí)間,在加上這些文件內(nèi)容來(lái)源眾多,由此就形成一個(gè)瓶頸,不僅導(dǎo)致檢測(cè)引擎變慢,還可能錯(cuò)過(guò)機(jī)會(huì)。過(guò)大的文件會(huì)推高磁盤(pán)I/O負(fù)載,使臨時(shí)存儲(chǔ)激增,并使CPU資源緊張。這種影響還可能蔓延到整個(gè)架構(gòu)中。
低效的數(shù)據(jù)存儲(chǔ)和處理:優(yōu)化不佳的數(shù)據(jù)保留、壓縮和解析會(huì)減慢SIEM快速分析日志的能力。隨著數(shù)據(jù)量增長(zhǎng),可擴(kuò)展的基礎(chǔ)設(shè)施和高效的標(biāo)準(zhǔn)化對(duì)維持性能至關(guān)重要。
復(fù)雜性和錯(cuò)誤配置:SIEM系統(tǒng)本質(zhì)上很復(fù)雜,需要精確調(diào)整和配置。錯(cuò)誤配置會(huì)導(dǎo)致威脅檢測(cè)延遲并增加誤報(bào),使安全團(tuán)隊(duì)不堪重負(fù),導(dǎo)致真正的威脅被忽視或響應(yīng)過(guò)晚。
警報(bào)噪音和誤報(bào):過(guò)多且未經(jīng)調(diào)整的警報(bào)會(huì)產(chǎn)生干擾安全團(tuán)隊(duì)的噪音,延長(zhǎng)響應(yīng)時(shí)間。如果沒(méi)有基于基準(zhǔn)行為和上下文分析的適當(dāng)警報(bào)調(diào)整,SIEM效率就會(huì)受損。
從解析緩慢開(kāi)始的問(wèn)題可能會(huì)波及整個(gè)基礎(chǔ)設(shè)施。當(dāng)攝取積壓時(shí),緩沖區(qū)會(huì)填滿。當(dāng)緩沖區(qū)填滿時(shí),事件隊(duì)列會(huì)停滯。本應(yīng)實(shí)時(shí)關(guān)聯(lián)的過(guò)程會(huì)延遲數(shù)分鐘——而這些分鐘至關(guān)重要。
消除隱藏因素提升效率的秘訣
為了有效應(yīng)對(duì)網(wǎng)絡(luò)威脅,安全團(tuán)隊(duì)需要采取一系列策略來(lái)消除隱藏的延遲并提升SIEM效率。
1.精簡(jiǎn)數(shù)據(jù)
去重、標(biāo)準(zhǔn)化和日志精簡(jiǎn)減輕數(shù)據(jù)重量。這些工作通過(guò)自動(dòng)化數(shù)據(jù)輸入中,確保每個(gè)文件都以精簡(jiǎn)和就緒的狀態(tài)出現(xiàn)。
實(shí)施先進(jìn)的圖像壓縮技術(shù)可以顯著減小文件大小而不影響質(zhì)量。在文件到達(dá)SIEM之前進(jìn)行壓縮、清理和去除多余內(nèi)容可以產(chǎn)生巨大影響。其中,文件壓縮是一種簡(jiǎn)單但被低估的提速方式。
此外,還要數(shù)據(jù)過(guò)濾包括去除未使用的字體;扁平化圖像層;刪除多余的元數(shù)據(jù);保留實(shí)質(zhì)內(nèi)容。摒棄拖累。
精簡(jiǎn)文件可以讓儀表板更新更快、告警呈現(xiàn)更清晰,而分析師花更少的時(shí)間分析附件或解決錯(cuò)誤。
2.利用自動(dòng)化
自動(dòng)化常規(guī)數(shù)據(jù)分析和響應(yīng)任務(wù),減少手動(dòng)工作量并加快反應(yīng)時(shí)間。
如果PDF超過(guò)大小限制,自動(dòng)壓縮它。如果日志到達(dá)時(shí)雜亂,修剪空白并緊湊結(jié)構(gòu)。定義規(guī)則。將其編碼化。
要將安全意識(shí)融入CI/CD。使用預(yù)提交鉤子來(lái)標(biāo)記龐大的日志。設(shè)置文件大小策略。
3.輸入優(yōu)化
簡(jiǎn)化輸入將幫助分析師大幅提高效率。這樣,他們就不必等待儀表板或與臃腫的文件作斗爭(zhēng)時(shí),而專注于真正的問(wèn)題。可以在工作流程中僅采用結(jié)構(gòu)化的輸入。
與規(guī)則調(diào)整不同,輸入優(yōu)化不需要對(duì)平臺(tái)進(jìn)行大的升級(jí)。這是一個(gè)簡(jiǎn)單的調(diào)整,可以大幅減少延遲并改善結(jié)果。而且這樣可以在事件響應(yīng)中為 AI 和 ML 提供精確的信息,讓其充分發(fā)揮重要作用。
4.精細(xì)調(diào)整警報(bào)
建立正常活動(dòng)基準(zhǔn),根據(jù)組織的風(fēng)險(xiǎn)狀況調(diào)整警報(bào)閾值,并應(yīng)用上下文分析來(lái)減少噪音和誤報(bào)。
5.強(qiáng)化集成
將SIEM與其他安全工具無(wú)縫集成,實(shí)現(xiàn)整體威脅關(guān)聯(lián)和更快、更準(zhǔn)確的檢測(cè)。比如,集成自動(dòng)化和編排的網(wǎng)絡(luò)事件響應(yīng)系統(tǒng)消除了不必要的交接,可以簡(jiǎn)化工作流程并減少行動(dòng)時(shí)間。
6.持續(xù)配置和教育
不斷審查和更新SIEM配置,培訓(xùn)安全人員適應(yīng)不斷發(fā)展的威脅和系統(tǒng)功能。為確保事件處理各層面的統(tǒng)一性,事件響應(yīng)手冊(cè)培訓(xùn)應(yīng)包含這些輸入優(yōu)化原則,并強(qiáng)調(diào)數(shù)據(jù)精簡(jiǎn)的重要性。
同時(shí),開(kāi)發(fā)團(tuán)隊(duì)也要參與進(jìn)來(lái)。如果他們沒(méi)有為性能而設(shè)計(jì),安全工具就會(huì)受到影響。
有時(shí)候,我們癡迷于優(yōu)化安全工具這樣復(fù)雜的工作,而忘記采用檢查輸入、壓縮文件這樣簡(jiǎn)單、有效的方法就可以加速SIEM,而不是通過(guò)重寫(xiě)規(guī)則。
此外,值得強(qiáng)調(diào)的是,從源頭減輕重量,下游的一切都會(huì)加速,告警觸發(fā)更快,響應(yīng)更敏銳,團(tuán)隊(duì)也不會(huì)陷入效率低下的泥沼中。通過(guò)戰(zhàn)略性調(diào)整、自動(dòng)化和集成來(lái)解決這些隱藏延遲問(wèn)題,組織可以將SIEM系統(tǒng)從性能不佳的工具轉(zhuǎn)變?yōu)楦咝У姆烙撸軌蚣皶r(shí)準(zhǔn)確地檢測(cè)和響應(yīng)網(wǎng)絡(luò)威脅。
