對(duì)于暴露在Internet上的信息，許多組織都有密碼驗(yàn)證系統(tǒng)。然而最近的研究表明，憑據(jù)濫用、可猜測(cè)密碼和強(qiáng)力攻擊仍然是危害組織網(wǎng)絡(luò)的行為中最常用的方法。安全信息與事件管理(SIEM)技術(shù)可以幫助企業(yè)的昂貴數(shù)據(jù)避免因?yàn)榭刹聹y(cè)密碼或?yàn)E用憑據(jù)的行為被盜。每個(gè)組織，特別是那些擁有面向Internet的IT資產(chǎn)并支持密碼認(rèn)證(如VPN設(shè)備、Web服務(wù)器、SSH和其它遠(yuǎn)程訪問(wèn))的組織，應(yīng)該充分利用他們的SIEM技術(shù)來(lái)幫助企業(yè)防御未授權(quán)的訪問(wèn)。

自動(dòng)登錄跟蹤可以幫助發(fā)現(xiàn)來(lái)自內(nèi)部和外部的惡意活動(dòng)。SIEM是唯一適合自動(dòng)化這個(gè)艱巨任務(wù)的技術(shù)。它可以收集和分析來(lái)自多個(gè)系統(tǒng)的成功和失敗的記錄，以此確定攻擊者何時(shí)接管賬戶憑據(jù)。

SIEM用來(lái)監(jiān)視未經(jīng)授權(quán)的訪問(wèn)嘗試所需要的數(shù)據(jù)相對(duì)簡(jiǎn)單。系統(tǒng)需要收集所有平臺(tái)的登錄信息，包括認(rèn)證記錄。重要的是，所有系統(tǒng)、設(shè)備和應(yīng)用中無(wú)論是成功還是失敗的登錄信息都需要收集。登錄失敗意味著安全系統(tǒng)在起防御作用，當(dāng)然，登錄成功就意味著現(xiàn)在有人進(jìn)入了你的系統(tǒng)。在這個(gè)密碼被盜、快速CPU破解加密文件的時(shí)代，登陸成功并不等同于是“授權(quán)訪問(wèn)”。

相關(guān)規(guī)則和警報(bào)

一個(gè)SIEM相關(guān)規(guī)則可以用來(lái)使部分系統(tǒng)登錄和身份驗(yàn)證檢測(cè)過(guò)程自動(dòng)化。以下是確保訪問(wèn)監(jiān)控有效的相關(guān)規(guī)則的例子：

◆當(dāng)攻擊者試圖在一個(gè)系統(tǒng)中使用所有憑據(jù)時(shí)，這是一個(gè)單一系統(tǒng)攻擊

◆幾次登錄失敗之后，突然登錄成功

◆身份驗(yàn)證掃描攻擊(在所有系統(tǒng)嘗試使用同一個(gè)憑據(jù))

◆在不尋常的時(shí)間登錄成功(對(duì)于用戶或系統(tǒng)來(lái)說(shuō))

◆在不尋常的地點(diǎn)登錄成功(對(duì)于用戶或系統(tǒng)來(lái)說(shuō))

視圖和報(bào)告

常規(guī)報(bào)告和指示性視圖對(duì)于這個(gè)案例很有用，如下：

◆頂級(jí)系統(tǒng)登錄失敗

◆登錄失敗/成功率變高趨勢(shì)

◆登錄失敗趨勢(shì)

◆用戶在多個(gè)系統(tǒng)登錄失敗

注意，無(wú)論是基于規(guī)則或基線，報(bào)告并不能代替警告。在大多數(shù)情況下，當(dāng)一個(gè)人審查報(bào)告，發(fā)現(xiàn)一些新的、不尋?；蚩梢傻氖挛飼r(shí)，惡意活動(dòng)就被發(fā)現(xiàn)了。審查報(bào)告的頻率可以從每天(這是理想化的，并且一些外部要求，如PCI DSS，也規(guī)定如此)到每周，甚至每月。只要你的組織滿意“檢測(cè)差距”(即事件發(fā)生和事件在審查報(bào)告過(guò)程中被發(fā)現(xiàn)之間的時(shí)間差距)，那么這個(gè)頻率就是可以接受的。

當(dāng)攻擊者猜測(cè)到密碼時(shí)，SIEM技術(shù)可以自動(dòng)收集數(shù)據(jù)并發(fā)送警告。然而，組織必須確保SIEM技術(shù)支持有效的事件響應(yīng)流程和程序(再次強(qiáng)調(diào)，這些流程和程序應(yīng)該要實(shí)際存在!)。在某些自動(dòng)響應(yīng)情況下，無(wú)論是通過(guò)人工分析和修補(bǔ)都需要發(fā)送警告，如一個(gè)通過(guò)DLP、其它防火墻或數(shù)據(jù)泄露產(chǎn)品的整合響應(yīng)系統(tǒng)。想要發(fā)送恰當(dāng)?shù)木?，那么SIEM系統(tǒng)需要非常了解正常的登錄日志基線和典型活動(dòng)，這不僅僅要求實(shí)現(xiàn)SIEM技術(shù)，還需要配備一個(gè)熟練的SIEM技術(shù)操作者，熟練的操作者對(duì)于整個(gè)系統(tǒng)高效工作非常有用。除了部署SIEM技術(shù)，收集登錄日志、運(yùn)行報(bào)告和使用相關(guān)觸發(fā)警報(bào)，操作程序還需要一個(gè)有效地服務(wù)器訪問(wèn)監(jiān)控過(guò)程。例如，當(dāng)系統(tǒng)管理員發(fā)現(xiàn)同一時(shí)間，用戶在兩個(gè)不同地方登錄時(shí)，管理員應(yīng)該做什么?管理員是否有權(quán)利終止會(huì)話、禁用賬戶、與用戶管理器溝通并采取措施?可操作程序可以讓這些動(dòng)作重復(fù)化，快速且有效，也確保持續(xù)的跟蹤和改進(jìn)。