在新冠疫情開始之初，當世界各地的政府下達居家令時，我們很難想象工作狀態(tài)會發(fā)生永久改變。不過，隨著組織迅速采用和擴展系統(tǒng)，以支持在短短三周內(nèi)規(guī)模翻了一番的遠程員工隊伍之后，公司文化也開始發(fā)生轉(zhuǎn)變。隨著員工開始適應(yīng)遠程工作模式，許多員工已經(jīng)向他們的雇主證明，他們居家辦公也可以保持與之前一樣的高效率，甚至在某些情況下還可以提高工作效率。

由于這種被迫進行的嘗試，許多專家和管理人員現(xiàn)在預(yù)測：這種靈活的居家辦公策略將會繼續(xù)存在。Gartner 的研究表明，有 41% 的員工將會繼續(xù)居家辦公，而在新冠疫情發(fā)生之前這一比例只有 30%。此外，已有 13% 的首席財務(wù)官 (CFO) 開始削減用于辦公空間的房地產(chǎn)支出。隨著遠程工作模式的持續(xù)，安全專家需要采用相應(yīng)的方法來維持已在消失多年的網(wǎng)絡(luò)外圍中幾乎不存在的可視性、監(jiān)控和威脅檢測。

盡管存在新的盲點，但在以下四個關(guān)鍵領(lǐng)域中，集中式安全信息和事件管理 (SIEM) 解決方案可以幫助安全團隊重新獲得并提升可視性與監(jiān)控。

電子郵件

有針對性的攻擊者擅長編寫極具吸引力的網(wǎng)絡(luò)釣魚電子郵件，而且他們的技巧會越來越純熟。電子郵件是需要予以監(jiān)控的最重要的威脅媒介之一，因為在進入組織網(wǎng)絡(luò)的惡意軟件中，有 94% 的惡意軟件都是通過網(wǎng)絡(luò)釣魚來交付的。若要盡早了解這些威脅，更重要的是，若要準確跟蹤網(wǎng)絡(luò)釣魚電子郵件打開后發(fā)生的情況，安全團隊需要獲得對整個組織中所發(fā)生情況的集中視圖。

為此，安全運營中心 (SOC) 團隊可以將相關(guān)電子郵件事件和網(wǎng)絡(luò)流量的組合信息發(fā)送到集中式 SIEM 解決方案進行分析。通過攝入和分析電子郵件事件或電子郵件安全事件（例如來自 Proofpoint 或 Cisco IronPort 的事件），安全分析人員可以更有效、更全面地查看基于電子郵件的威脅。

為了獲得更深入的洞察力，分析人員還可以利用網(wǎng)絡(luò)分析功能來提取其他屬性，例如電子郵件發(fā)件人、附件名稱、文件哈希和 URL，然后將這些屬性與威脅情報進行實時關(guān)聯(lián)。如此一來，這種網(wǎng)絡(luò)級洞察力可以針對可能預(yù)示著網(wǎng)絡(luò)釣魚攻擊的已知威脅和可疑屬性提供早期可視性并警報。

端點

在大規(guī)模轉(zhuǎn)向遠程工作模式之前，公司通常可以分為兩種類型：

· 一種是那些幾乎完全采用辦公室工作模式，其用戶使用臺式機進行工作的公司，

· 而另一種是那些支持遠程工作模式，其筆記本電腦上的用戶可以通過虛擬專用網(wǎng)絡(luò)連接到網(wǎng)絡(luò)的公司。

當員工幾乎完全轉(zhuǎn)向遠程工作模式時，他們都會面臨諸多挑戰(zhàn)。之前采用辦公室工作模式的組織需要迅速弄清楚如何為遠程員工啟用核心服務(wù)和應(yīng)用，而且在某些情況下，還需要首次部署虛擬專用網(wǎng)絡(luò)。支持遠程工作模式的公司會發(fā)現(xiàn)虛擬專用網(wǎng)絡(luò) 使用量激增，網(wǎng)絡(luò)不堪重負且速度大大降低，從根本上迫使用戶不得不脫離 虛擬專用網(wǎng)絡(luò) 來維持生產(chǎn)效率。從安全角度來看，兩種情況都在端點和用戶活動方面引入了大量盲點。

若要重新獲得可視性，安全團隊可以結(jié)合采用端點操作系統(tǒng) (OS)、虛擬專用網(wǎng)絡(luò) 和端點檢測與響應(yīng) (EDR) 事件來進行威脅檢測。借助 Windows、macOS 和 Linux 的本地日志記錄，安全團隊可以洞悉端點級別發(fā)生的情況。通過使用 Sysmon 擴展 Windows 事件日志記錄，團隊可以獲得更深入的威脅相關(guān)洞察力，例如流程活動和域名系統(tǒng) (DNS) 請求。

對于使用 EDR 解決方案（例如 Carbon Black 或 CrowdStrike）的組織，可以將端點安全事件發(fā)送到集中式 SIEM 解決方案，并與其他企業(yè)數(shù)據(jù)相關(guān)聯(lián)，以實現(xiàn)端到端威脅可視性。一旦 EDR 與 SIEM 進行了緊密集成，便可以直接從 SIEM 界面啟動響應(yīng)操作。最后，當用戶登錄 虛擬專用網(wǎng)絡(luò) 或通過基于風(fēng)險的身份驗證訪問應(yīng)用時，這些解決方案可以洞悉有關(guān)端點位置、MAC 地址、用戶代理以及其他有價值的信息，進而提供這是否是真實用戶的洞察力。

一旦通過單個位置收集了這些寶貴的數(shù)據(jù)，安全團隊便可運用一系列機器學(xué)習(xí)和基于相關(guān)性的分析來檢測已知和未知威脅。對于安全運營團隊而言，尋找可提供預(yù)構(gòu)建安全用例和分析的 SIEM 供應(yīng)商尤為有用，這樣他們就不必花費時間和金錢從頭開始研究和開發(fā)這些產(chǎn)品。

應(yīng)用

應(yīng)用活動的監(jiān)控應(yīng)是團隊的主要重點，因為與監(jiān)控端點不同，組織即使在網(wǎng)絡(luò)之外也仍然可以控制應(yīng)用活動。應(yīng)用監(jiān)控還有助于暴露網(wǎng)絡(luò)中已存在的攻擊者。應(yīng)用監(jiān)控可以在多個級別上執(zhí)行：

· 通過身份即服務(wù) (IDaaS) 解決方案（例如 Cloud Identity Connect 或 Okta 登錄時。

· 直接通過 SAP、SalesForce.com 或 Office 365 等應(yīng)用登錄、注銷時。

· 通過 Zscaler 等云訪問安全代理 (CASB) 解決方案來監(jiān)控誰正在訪問或試圖訪問哪些應(yīng)用。

· 直接在應(yīng)用堆棧內(nèi)，包括 OS 容器編排平臺（如 Kubernetes）、容器本身和這些環(huán)境中的 API 調(diào)用。

除了在每個級別上監(jiān)控和分析事件之外，網(wǎng)絡(luò)監(jiān)控還可以提供有關(guān)應(yīng)用數(shù)據(jù)如何在網(wǎng)絡(luò)中流動、哪些人員和對象連接到了這些系統(tǒng)以及是否發(fā)現(xiàn)了異常流量的詳細洞察力。這一新增的洞察層可以增強現(xiàn)有的可視性和洞察力，幫助安全團隊更快發(fā)現(xiàn)一些可疑活動，例如受害帳戶和橫向移動數(shù)據(jù)滲透嘗試等。此外，當攻擊者獲得足夠的控制權(quán)，進而成功地使用檢測規(guī)避技術(shù)（例如禁用日志記錄）時，網(wǎng)絡(luò)監(jiān)視可能會特別有用。作為高度可靠的事實來源，網(wǎng)絡(luò)數(shù)據(jù)可以顯示系統(tǒng)和應(yīng)用何時處于聯(lián)機狀態(tài)，即使它們沒有發(fā)送日志，也可以繼續(xù)提供針對這些系統(tǒng)和應(yīng)用運行狀況的可視性。

云

由于許多物理數(shù)據(jù)中心暫時關(guān)閉，因此組織迫切需要將 IT 系統(tǒng)的現(xiàn)場物理維護需求降至最低。許多組織已迅速加速了云基礎(chǔ)架構(gòu)的采用，為其工作負載和應(yīng)用提供支持，以維持業(yè)務(wù)連續(xù)性。由于許多此類遷移已經(jīng)進行了規(guī)劃（通常只是按照隨后的時間表進行），因此大多數(shù)安全團隊都應(yīng)期望這些投資能夠繼續(xù)保持。

為了更早地了解這些環(huán)境中的風(fēng)險和威脅，安全團隊可以監(jiān)控一系列事件，包括用戶活動、應(yīng)用活動以及資源和配置更改。幸運的是，主要的公有云供應(yīng)商（例如 AWS、IBM、Azure 和 Google Cloud））均提供了豐富的日志、事件和網(wǎng)絡(luò)流數(shù)據(jù)集，這些可引入到集中式 SIEM 解決方案之中，進而實現(xiàn)內(nèi)部和多云環(huán)境中的可視性和檢測。

通過攝入此類數(shù)據(jù)并對其運用安全用例，分析人員可以獲得有關(guān)多種可疑活動的洞察力，例如：

· 異常的用戶和帳戶活動，例如異常的身份驗證活動、來自不同地理位置的多次登錄或可疑的根用戶活動。

· 異常的工作負載活動，包括異常的 API 調(diào)用、可疑的容器活動或訪問資源的非標準服務(wù)。

· 高風(fēng)險配置更改，例如可疑的 IAM 或安全組策略更改、S3 存儲區(qū)策略更改或新證書或更改的證書。

· 可疑的資源更改，例如非標準的虛擬私有云 (VPC) 或 EC2 實例，或者 EC2 實例的數(shù)量或大小的快速增加。

盡管許多云提供商都可提供自己的原生安全功能，但其產(chǎn)品卻無法集中查看跨環(huán)境的安全數(shù)據(jù)，導(dǎo)致分析人員不得不在復(fù)雜的數(shù)據(jù)孤島中工作。如今，有 62% 的公有云采用者使用兩個或多個公有云；平均而言，每個組織使用 4.8 個獨立的公有云和私有云環(huán)境。對于疲于應(yīng)對不斷增長的工作負載的分析師來說，獲得集中式的云可視性以及在威脅通過不同環(huán)境時對其進行自動分析、檢測和跟蹤的能力至關(guān)重要。能夠跨云和內(nèi)部環(huán)境攝入和分析事件和流數(shù)據(jù)的集中式 SIEM 解決方案，可幫助分析師在威脅升級并造成嚴重損害之前快速、更有效地檢測威脅。

總結(jié)

由于正在快速轉(zhuǎn)移到遠程工作模式，許多 IT 組織現(xiàn)在已經(jīng)部署了支持遠程員工的技術(shù)。在過去的數(shù)月中，員工已經(jīng)證明他們居家辦公也可以保持較高的生產(chǎn)效率。隨著我們邁向新常態(tài)，即將發(fā)生的一項明顯變化就是更加靈活、對遠程友好的工作策略。在此情況下，安全運營團隊需要一種可持續(xù)的長期戰(zhàn)略，以在具有新盲點且?guī)缀鯖]有任何剩余外圍的網(wǎng)絡(luò)上保持可視性和威脅檢測。

通過加倍增加集中式安全分析，特別是網(wǎng)絡(luò)釣魚、端點、應(yīng)用和云安全用例，安全分析人員可以獲得新的洞察力，彌補丟失的可視性并最終幫助增強組織的安全態(tài)勢。在如今安全團隊由于遠程工作而精疲力盡的時代，組織可以考慮部署具備以下優(yōu)勢的 SIEM 解決方案：能夠在任何環(huán)境（包括 SaaS 或公有云）中運行、能夠提供預(yù)構(gòu)建用例，讓檢測變得更輕松并提高總體價值，同時能夠提供與 SOAR 解決方案（如 Resilient）的緊密集成，進而加快端到端威脅檢測、調(diào)查和響應(yīng)周期。

點擊了解更多IBM安全觀