【51CTO.COM 獨(dú)家翻譯】Verizon Business公司風(fēng)險(xiǎn)小組發(fā)布的《2010年數(shù)據(jù)泄漏調(diào)查報(bào)告》現(xiàn)已出爐，里面含有大量的寶貴信息。這年的報(bào)告包含了美國特勤局開展的調(diào)查內(nèi)容，顯著擴(kuò)大了數(shù)據(jù)泄漏的范圍。調(diào)查人員分析了這些數(shù)據(jù)泄漏，以查找根源。這份報(bào)告之所以那么重要，原因在于它讓我們有機(jī)會了解其他企業(yè)在哪些環(huán)節(jié)沒有保護(hù)好數(shù)據(jù)和系統(tǒng)，那樣我們就能從別人的不幸經(jīng)歷中汲取教訓(xùn)。

報(bào)告中總是有一些令人驚訝的統(tǒng)計(jì)數(shù)字和細(xì)節(jié)內(nèi)容。比如說，2010年報(bào)告聲稱"我們一再發(fā)現(xiàn)，雖然日志十有八九可供企業(yè)使用，但通過分析日志來發(fā)現(xiàn)數(shù)據(jù)泄漏的仍然不足5%。"

這是否意味著不值得企業(yè)花力氣收集日志數(shù)據(jù)？根本不是這樣。但這份報(bào)告認(rèn)為，戰(zhàn)略可能需要有所改變；現(xiàn)在恐怕是時(shí)候?qū)ふ掖蟛荻蚜?，而不是一味尋找大草堆里面的?xì)針。該報(bào)告表明，有三大征兆（即大草堆）可能表明存在泄漏：

◆日志數(shù)據(jù)增加異常

◆日志里面的行長得異常

◆沒有日志數(shù)據(jù)（或日志數(shù)據(jù)減少異常）

調(diào)查人員撰文："我們發(fā)現(xiàn)數(shù)據(jù)泄漏后，日志條目增多了500%。攻擊者關(guān)掉日志功能后，我們發(fā)現(xiàn)好幾個(gè)月日志完全消失了。我們注意到，SQL注入攻擊及其他攻擊使得日志里面的行要比正?；顒娱L得多。這些與其說是細(xì)針，還不如說是大草堆。"此外，"僅僅尋找大草堆會是一種非常大的改進(jìn)。"

安全信息事件管理（SIEM）系統(tǒng)等工具既可以幫你找到大草堆，還能幫你找到細(xì)針，那樣不但加大了檢測數(shù)據(jù)泄漏或違反政策的其他行為的可能性，甚至加大了緩解這些安全威脅的可能性。LogLogic公司的全球營銷執(zhí)行副總裁Bill Roth給出了幾點(diǎn)建議，介紹了部署SIEM的若干最佳實(shí)踐：

了解你的數(shù)據(jù)以及你希望它用來做什么。

你在部署SIEM系統(tǒng)之前，一定要了解日志數(shù)據(jù)的大小、頻率和行為。這意味著，你要知道數(shù)據(jù)來自哪里（比如來自系統(tǒng)、路由器或交換機(jī)），數(shù)據(jù)又是如何提供的。你還應(yīng)該確定實(shí)施SIEM系統(tǒng)的具體目標(biāo)。你實(shí)施的SIEM主要用來支持企業(yè)日常運(yùn)營？還是用于加強(qiáng)安全，將日志作為審計(jì)跟蹤記錄來保留？還是說用于滿足具體的法規(guī)法令？了解你希望SIEM系統(tǒng)為貴企業(yè)做什么，可以幫助你確定需要遵守的政策和程序，并且確定日志數(shù)據(jù)保留多久。#p#

將一切設(shè)備記入日志。

明確范圍，弄清楚要把哪些設(shè)備記入日志（如系統(tǒng)日志、系統(tǒng)、路由器和防火墻）。祝上述的使用場合而定，你可能要重點(diǎn)關(guān)注一組特定的設(shè)備。別忘了：可以記入日志的對象絕不僅限于網(wǎng)絡(luò)設(shè)備。比如說，你還可以通過物理登錄來收集信息，比如通過安全機(jī)制進(jìn)入大樓的情況。另外，在法規(guī)遵從方面，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI-DSS）要求你把參與支付卡交易的所有設(shè)備都記入日志。企業(yè)常常把這個(gè)網(wǎng)絡(luò)隔離開來，每年僅僅保留那些設(shè)備的審計(jì)跟蹤記錄。為了安全起見，你要把一切設(shè)備記入日志，確保你的整個(gè)網(wǎng)絡(luò)和整個(gè)企業(yè)都受到了保護(hù)。

要不要關(guān)聯(lián)？

明確要管理哪幾層日志將有助于確定哪些使用場合下需要關(guān)聯(lián)。企業(yè)往往至少把專門針對安全的設(shè)備關(guān)聯(lián)起來，比如入侵檢測系統(tǒng)/入侵防護(hù)系統(tǒng)（IDS/IPS）設(shè)備、防火墻和域控制器，那樣才能采取積極主動的安全方法。不過，一些企業(yè)利用關(guān)聯(lián)機(jī)制是為了確保運(yùn)營順暢，比如利用特定的數(shù)據(jù)庫錯誤消息來確定操作系統(tǒng)錯誤消息，并把該消息與多個(gè)平臺上的軟件錯誤消息聯(lián)系起來。兩者都是很典型的使用場合。

不要"設(shè)定好后就不管"。

如果你設(shè)定好了部署的SIEM系統(tǒng)，但以后不去管它，還不如當(dāng)初不要部署。你一定要針對日志管理層和關(guān)聯(lián)層設(shè)定好角色和政策。還要對它們逐步進(jìn)行調(diào)整，以便它們能很好地協(xié)同運(yùn)行，以減少誤報(bào)率。一定要為應(yīng)當(dāng)審閱SIEM解決方案生成的報(bào)告的那些人明確職責(zé)，并且落實(shí)政策，確保新設(shè)備在投入使用后添加到整個(gè)系統(tǒng)中。

報(bào)告是關(guān)鍵。

應(yīng)該從符合你要求的具體報(bào)告開始入手，而不是一下子獲取一大堆報(bào)告。通過收集一系列特定的數(shù)據(jù)，你就能調(diào)整數(shù)據(jù)，并加以優(yōu)化。換句話說，一開始就要想著目的。能夠回答"我其實(shí)需要知道什么？"之類的問題，而且在制作最終報(bào)告時(shí)要想著那個(gè)目的。你在制作報(bào)告時(shí)，要確保考慮到了各利益相關(guān)者（比如你的老板）。牢記這一點(diǎn)：你不但要尋找細(xì)針，還要尋找大草堆。

為部署SIEM解決方案制定好一項(xiàng)可靠的方案，有望幫助貴企業(yè)遵從法規(guī)，并且讓貴企業(yè)的IT運(yùn)營確保擁有良好的安全狀況。

http://www.networkworld.com/newsletters/techexec/2010/1115101bestpractices.html

 【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

【編輯推薦】

1. “維基泄密事件”重敲數(shù)據(jù)安全防護(hù)警鐘
2. 淺談數(shù)據(jù)安全保護(hù)
3. 信息化時(shí)代 數(shù)據(jù)安全七種秘密武器
4. 數(shù)據(jù)安全大講堂 證密碼持久到100年堅(jiān)不可摧