數據安全對于大多數組織來說是一個持續的挑戰，但利用您的 IT 管理數據可以使其變得更容易。數據安全改進可能是一項昂貴的必需品，但有一些方法可以使用您的網絡和系統管理數據免費進行這些改進。雖然您的網絡和系統管理平臺無法取代您的 SIEM 或 IDS，但進行這些改進可以通過多種有價值的方式提高您的效率。

• 由于軟件的不同專業化，基于管理數據的安全性具有許多安全平臺以廉價或易于訪問的方式缺乏的優勢。
• 下面討論的一些好處也可能與 IDS 一起使用，但沒有人讓他們的 IDS 在其環境中的每個端口上運行。
• 使用現有工具而不是新工具可以減輕勞動力負擔，從而節省培訓、維護和管理費用的時間和金錢。
• 此外，將安全功能集成到您的整體 IT 管理平臺可以大大提高您指揮中心的整體安全意識。這還可以通過提高跨多個團隊的可見性來減少響應安全事件所需的時間。

提高數據安全性的 5 種方法

1. 觀察網絡流量是否有異常行為

如果您監控到我們始終建議的單個交換機端口級別，您將擁有非常精細的數據，可用于發現行為變化。

流量突然激增可能是發現受感染系統或開始執行網絡掃描或其他類型偵察的系統的簡單方法。為確保您不會遺漏任何內容，您還要監控接入交換機端口。這使您可以密切關注最終用戶系統，而無需在每個系統上安裝端點監控軟件的開銷和麻煩。此外，如果入侵者可以禁用或規避端點監控，這甚至可以幫助發現端點監控可能遺漏的問題。

從交換機的角度尋找入站流量的突然峰值是查找此類流量來源的好方法，您甚至可以跨多個交換機、路由器和防火墻對其進行跟蹤。

總體流量水平的長期變化，或后臺流量水平的大幅躍升，都清楚地表明系統現在正在以不同的方式使用。因此，問題就變成了這種行為變化是否可以解釋。我們有一個客戶使用這種方法發現一名 IT 工作人員已經開始將他們的數據庫備份到他的本地硬盤驅動器上。您可以更好地相信他們與他就正確的備份過程和數據安全性進行了很好的交談。

為了發現這種不尋常的行為，您需要有一種方法來發現它，而無需不斷生成手動基線。畢竟，一個月中特定日期的流量激增對于系統來說可能是完全正常的。使用我們的異常檢測技術解決了這個問題。

為這些數據保留了大量的高分辨率遙測和統計數據，用于自動生成基線行為模型。然后，我們將當前行為與一天中的某個時間、一周中的某天或其他基于時間的測量的正常行為進行比較。您可以將靈敏度設置為高、中或低，具體取決于您的容差和環境，以及該統計數據的通常范圍，以微調過程。您還可以按需手動運行此數據。

然后，該信息用于檢測何時發生異常情況，我們可以將其標記為異常，然后可以生成警報或報告。這使您可以發現這些意外行為，并收到有關它們的通知或將它們推送到您的 SIEM 進行分析。

您還想觀察設備之間發生的情況。除了查找整體帶寬的異常之外，您還可以使用這些數據來監控網絡層結構，例如服務質量 (QoS) 和 VRF 實例。這擴展了您的可見性，以查找諸如 QoS 錯誤配置之類的問題，您將流量發送到錯誤的隊列中。它還允許您查找通過錯誤 VRF 發送的流量；即使它不是主動入侵，也可能是一個安全問題，并為我們提供了另一個尋找異常流量的地方，特別是如果它來自許多不同的來源。

2. 利用過程級別的異常檢測技術

要監控的明顯數據點之一是正在運行的進程或新運行進程的總數。系統上出現新進程時立即收到通知可能是一個很好的指標，表明需要進行一些調查。如果您當前的 IDS/IPS 沒有擴展到服務器操作系統級別，則尤其如此，這是很多公司無法承受的。同樣重要的是要考慮并非所有 IDS 系統都會標記它，例如當服務器突然開始運行瀏覽器或安裝程序時。

您還應該注意現有進程的 CPU 或內存使用情況的突然變化。無論如何，出于性能原因，這通常是一個好主意。然而，如果 SQL CPU 使用率出現超過一天中正常時間的峰值，則可能表明未經授權的登錄嘗試激增。您還可以觀察其他類型的進程行為，例如數據庫查詢或鎖定的數量或登錄用戶的數量，因為異常活動也可能是您想要調查的潛在安全問題。

3. 監控日志異常

雖然這樣做通常是您的 SIEM 的領域，但您可以在這里做一些事情，這可能有助于使用異常檢測來補充這一點。 觀察每一條可能的日志消息——并試圖標記那些可能意味著問題的消息——通常太吵了，而且很難做好。此外，防火墻日志可能已由 SIEM 處理。因此，您觀察它們的方式是通過在日志中查找統計異常等操作。

生成的日志總量突然激增可能表明各種事情，包括安全問題、暴力攻擊，甚至只是導致問題的軟件錯誤。由于您正在查看日志消息的數量和類型，這為您提供了一個有趣的視角來尋找異常行為。當然，您仍然可以自己鉆取日志消息，以便在系統標記異常后進行故障排除或取證。您還可以創建規則來過濾您正在監視的日志消息。例如，如果您只想計算登錄失敗消息，您也可以輕松地做到這一點。

您可以創建靜態閾值來發現事情何時完全偏離軌道，但異常更容易使用。如果應用程序在每個星期一早上都有大量的登錄高峰，但在星期五幾乎沒有，那么當星期五由于憑據受損而突然出現高峰時，創建靜態警報就不會很好地工作。

4. 使用配置管理數據確保安全

這似乎是一個顯而易見的問題，但即使您已經在使用配置管理數據，也有一些關鍵點可以確保它是安全過程的一部分。要問的第一個問題是這些變更警報的去向。是網絡團隊，還是安全團隊，還是兩者兼而有之？變更管理數據呢？

這對于觀察防火墻配置的變化尤其重要。這聽起來很明顯，但您會驚訝于這種情況發生的頻率。有時只是因為安全團隊和網絡團隊溝通不暢。但是讓每個人都知道設備配置何時以及發生了什么變化可以節省大量的故障排除時間。請特別注意這些配置更改警報何時發生。您是否有預定義和批準的變更窗口？您可能需要特別注意從這些窗戶外進來的任何東西。

您還應該確保已將這些警報與您的 SIEM 或票務系統集成。最重要的是，確保每次收到配置更改警報時，都會根據您的更改控制流程對其進行審核和審查，以便您知道不會對您的基礎架構或防火墻進行未經批準的更改。

5. 觀察交通流量數據

您可以使用 Netflow 或 IPFIX 等基礎設施設備中已內置的技術來收集有關網絡上誰在與誰通話以及正在使用哪些協議的信息。觀察網絡上突然出現的新協議是了解環境中正在發生的事情的好方法。但是，這在較大的環境中可能會有些棘手。例如，您可能有團隊幾乎不斷地部署新應用程序，如果您沒有良好的變更控制溝通，您可能并不總是知道新應用程序何時上線。

最容易尋找的事情之一是控制類型流量的峰值，因為這些絕對是出現問題的危險信號。這可能是路由更新、ICMP 流量、DNS 請求的突然激增，甚至是 VPN 流量的意外激增。也許遠程工作人員正在下載數據以離線工作，或者他正在復制客戶數據庫以出售給競爭對手——無論哪種方式，都值得研究。

監控您的應用程序響應時間

監控您的應用程序響應時間起初似乎沒有安全隱患，但它絕對可以。蠻力攻擊或 DDoS 攻擊可能會導致您的應用程序變慢，并且此數據可以與其他服務器性能指標相關聯，以查看流量??是否合法。

這對于云托管系統尤其重要，因為我們可能無法深入訪問服務器級信息。在許多托管環境中，您可能根本沒有操作系統可見性，因此管理頂層性能是您必須使用的唯一真實指標，具體取決于您的應用程序的檢測方式。

云提供商通常會構建某種級別的 DDoS 保護，但很少提供針對暴力破解或密碼重放式攻擊的任何保護。因此，您無法控制——或者在大多數情況下，甚至無法看到——所有進出系統的流量。一個簡單的方法是使用異常檢測來觀察響應時間的突然變化。這也可以是一個很好的性能數據管理工具。

看大圖

一旦您擁有所有這些出色的數據，您需要確保您正在共享它。通過向價值流中的每個人提供數據，每個人都對現實有共同的看法，這有助于溝通，并展示透明度，從而增強信任。成功的一個關鍵是讓訪問信息變得容易和快速。團隊不會覺得他們需要有自己的監控，這會產生大量的警報噪音和多余的工作，以及產生管理、支持和維護支出問題。

如果受眾是非技術人員（并且總是有一些非技術人員需要參與其中），請不要猶豫，將數據簡化或抽象為更易于理解的格式。一種方法是使用我們的業務工作流視圖，它允許您將整個應用程序及其所有組件部分滾動到一個百分比分數中。共享此數據可以采用多種形式，具體取決于適合您的環境的方式。API、公共共享頁面或內網頁面、未經身份驗證的狀態頁面和信息輻射器。

信息輻射器只是設計用于在公共區域顯示重要狀態信息的系統。例如，每個人都經過的走廊墻上的監視器。團隊可以根據受眾顯示應用程序視圖或更多技術視圖。這使您可以讓所有團隊保持同步，不僅是狀態數據，還有有用的操作指標，如響應時間或事務速度。

使用信息輻射器還可以讓我們積極展示核心價值觀，例如團隊對訪問者（客戶、利益相關者等）沒有什么可隱瞞的，對自己也沒有什么可隱瞞的。它承認并面對問題。

與 SIEM 工具集成

我們討論的其中一件事是將所有這些數據與您的 SIEM 集成，并將安全警報滾動到您的儀表板中。對于來自 SIEM 的入站警報，這很容易。有一個非常簡單的 API，可以讓您的其他系統將警報直接“推送”到我們的平臺，然后您可以在自定義儀表板和視圖上顯示。這也可以集成到您的所有指揮中心操作中。

對于集成出站消息，例如配置更改警報或異常警報，您有許多不同的選擇。您可以使用 webhook、JSON，甚至是電子郵件消息、Syslog 或 SNMP 陷阱，如果您的平臺能夠支持的話。

我們提供了一種編輯這些消息格式的簡單方法，因此您可以確保將它們定制為您的 SIEM 可以輕松處理和解析的格式。您還可以在這些消息中包含各種信息；包括文檔信息，如序列號、資產標簽、運行手冊信息或現場負責聯系信息。