Überwachen Sie den Missbrauch zu vermeiden Hacks
Die Überwachung sicherheitsrelevanter Ereignisse ist von wesentlicher Bedeutung für die laufenden Sicherheitsbemühungen Hacking abzuschrecken. Dies kann als Grund- und banal sein, wie die Überwachung von Log-Dateien auf Routern, Firewalls und kritische Server jeden Tag. Erweiterte Überwachung könnten gehören eine Korrelation Security Incident-Management-System Implementierung jede kleine Sache zu überwachen, die in Ihrer Umgebung passiert. Eine gängige Methode ist es, ein Intrusion Prevention System oder Data Leakage Prevention-System zu implementieren.
Das Problem mit der Überwachung sicherheitsrelevanter Ereignisse ist, dass die Menschen finden es sehr langweilig und sehr schwierig, effektiv zu tun. Jeden Tag können Sie eine Zeit, um die Überprüfung Ihrer kritischen Protokolldateien aus der vorherigen Nacht oder am Wochenende widmen Einbrüche und andere Computer-und Netzwerk-Sicherheitsprobleme aufzuspüren. Aber wollen Sie wirklich selbst oder jemand anderes zu dieser Art von Folter zu unterziehen?
Allerdings ist manuell Sichten durch Log-Dateien wahrscheinlich nicht der beste Weg, um das System zu überwachen. Betrachten Sie die folgenden Nachteile:
Die Suche nach kritischen Sicherheitsereignisse in der Systemprotokolldateien ist schwierig, wenn nicht unmöglich. Es ist einfach zu langweilig eine Aufgabe für das durchschnittliche menschliche effektiv zu erreichen.
Je nach Art der Protokollierung und Sicherheit Ausrüstung, die Sie verwenden, können Sie nicht einmal ein paar Sicherheitsereignisse, wie zB Intrusion Detection System (IDS) Umgehungstechniken und Hacks erkennen in erlaubten Ports im Netzwerk kommen.
Statt alle durch Ihre Log-Dateien für schwer zu finden Einbrüche von Panning, versuchen Sie dies:
Aktivieren Sie die Systemprotokollierung, wo es sinnvoll und möglich ist. Sie müssen nicht unbedingt alle Computer- und Netzwerk-Ereignisse zu erfassen, aber Sie sollten auf jeden Fall für bestimmte offensichtlichen aussehen, wie Login-Ausfälle, fehlerhafte Pakete, und nicht autorisierten Zugriff auf Dateien.
Melden Sie Sicherheitsereignisse mit syslog oder einen anderen zentralen Server in Ihrem Netzwerk. Bewahren Sie keine Protokolle auf dem lokalen Rechner, wenn möglich, zu helfen, die bösen Jungs von Manipulationen an Log-Dateien zu verhindern, um ihre Spuren zu verwischen.
Im Folgenden sind ein paar gute Lösungen für die Sicherheitsüberwachung Dilemma:
Erwerben Sie ein Event-Logging-System. Einige preiswerte aber wirkungsvolle Lösungen zur Verfügung, wie beispielsweise GFI LANguard SELM. Typischerweise verbilligte Ereignisprotokollierung Systeme unterstützen in der Regel nur eine OS-Plattform - Microsoft Windows ist die häufigste. High-End-Lösungen, wie zum Beispiel HP ArcSight Logger, bieten sowohl Log-Management über verschiedene Plattformen und Ereigniskorrelation, um die Quelle der Sicherheitsprobleme aufzuspüren und zu den verschiedenen während eines Vorfalls betroffenen Systeme.
Outsource Sicherheitsüberwachung zu einem Dritt Managed Security Services Provider (MSSP) in der Cloud. Einige MSSPs stehen zur Verfügung, wie BT Assure Managed Service, Dell Secureworks und Alert-Logic. Jetzt betrachtet Cloud-Service-Provider, Diese Unternehmen haben oft Tools, die Sie sich leisten können und halten wahrscheinlich nicht in der Lage sein. Sie haben auch Analysten rund um die Uhr und Sicherheits Erfahrungen und Kenntnisse, die sie von anderen Kunden zu gewinnen.
Wenn diese Cloud-Service-Provider eine Sicherheitslücke oder Intrusion entdecken, können sie in der Regel die Frage sofort, oft ohne Ihre Beteiligung. Überprüfen Sie, ob Drittfirmen und ihre Dienste einen Teil Ihrer Zeit und Ressourcen frei. Verlassen Sie sich nicht allein auf ihre Überwachung efforts- ein Cloud-Service-Provider Probleme fangen Insider Missbrauch haben kann, Social Engineering-Angriffe, und Web-Anwendung Hacks über Secure Sockets Layer. Sie müssen einbezogen werden.