更好地利用日志来提高安全性和员工满意度

提高企业安全性的“秘密成分”就在您的鼻子底下:更好地利用硬件和软件每天生成的日志。

这是供应商Dome9 security的安全研究主管Shira Shamban的观点，Dome9 security提供云可见性解决方案，该方案于周二在多伦多的年度行业会议上提出。

“这是我们最重要的安全工具。”

事实上，这对供应商来说是不寻常的。沙姆班说，硬件和软件产品的制造商正在把infosec专业人士赶出这个行业，因为销售的东西并不能让组织更安全。

她抱怨道:“我们在与攻击者的竞争中失败了。”“2016年，一般的企业在其网络上安装了70多个安全解决方案。但五分之四的安全专家认为，他们的组织将被攻破。

“为什么我们一直在安装更多的安全解决方案?””她问道。“他们没有给我们带来我们所追求的自信和安全感。我们做错了。”

每个组织，无论规模大小，都需要安全的IT，公司预算通常证明了这种需要。在处理…

Windows的错误报告每天都会从系统中跳出来，但通常会被大多数组织忽略。但是一个安全供应商说…

Shamban说，SOC分析师的平均水平受到警报和仪表板的狂轰滥炸。他们不会帮它完成工作。“停止购买那些不能帮助我们更好地做好安全工作的产品，”她要求经理们。她说，分析师一两年后离开也就不足为奇了。“对他们的所作所为感到非常、非常不满意，这在一定程度上是我们的错，因为我们没有给他们配备正确的工具……我们没有帮助他们……”我们让他们的生活更悲惨。他们没有成就感，他们只是讨厌它。”

沙姆班说，虽然日志中有大量需要利用的事件信息，但她从信息安全专家那里听到了很多被忽视的理由:“我有杀毒软件。“我想我把所有的日志都记下来了。”“我只使用默认配置。”

然而，她指出，80%的安全问题会重复出现，这就是为什么日志分析如此重要。“我们需要一劳永逸地解决这80%的问题，这样，剩下的时间里，安全工程师们就能做真正酷、有趣、复杂的事情。”

“日志让我们看到我们没有意识到的盲点……

首先，Shamban说，保留所有的日志，并尽可能长时间地保存它们——特别是因为检测一个漏洞可能需要数月甚至更长时间。云存储很便宜，她补充道。她还说，不同的日志提供了对事件的不同看法。

她说，任何阻止安全团队将日志流到数据库或安全信息和事件管理系统(SIEM)的安全解决方案都是糟糕的。

沙姆班说，即使异常检测是通过算法自动进行的，也远远不够，因为分析人员必须接受统计分析方面的培训。

最后，日志收集解决方案(SIEM或其他)的用户界面必须是合适的:检测到什么、什么是问题、为什么是问题以及应该如何解决。忘掉仪表盘上的数字吧。百分之九十五是好的吗?这是关于什么是安全的，她说，什么是不安全的。

Shamban还强调了预防(安全意识培训、双因素或多因素身份验证、访问控制)和检测(监视登录模式、CPU使用、出站流量等)策略对于彻底的网络安全的重要性。

她说，梳理日志——如果有必要的话，请一位专家——把最常见的10件事情列成一组。找到一个自动化的解决方案。然后再做下一个10个。使用机器学习来判断第二组中的问题是否与前10组中的问题相似。如果是这样，已经有一个自动修复。如果没有，则可以升级以供支持人员处理。

“你需要热爱你的日志，”Shamban总结道。“当你早上醒来的时候，你需要想出新的方法来使用你的日志。当你睡觉的时候，在亲吻你的妻子或丈夫之后，想一些新的东西来处理我们的日志。”

她补充说，除了更好的安全性之外，这还会让infosec团队感觉像是“为公司的安全性做出贡献的高效人员”。