保护SIEM系统：访问控制和优先可用性

　　鉴于正确实施、 管理和利用安全信息和事件管理 (SIEM) 系统对组织的安全基础结构环境的重要性，很明显破坏SIEM可能是攻击者用来避免检测或破坏环境安全管理的一种成功方法。

　　有哪些潜在影响会使SIEM系统受损，又有哪些防御措施可供企业保护其SIEM系统呢?这些都是我们设法在此回答的问题。

　　将SIEM系统视为可用性高的企业资源

　　从安全操作的角度分析，我们应该认识到SIEM系统是安全基础结构的重要组成部分，也是托管企业环境中的众多系统之一。为此，我们应该对SIEM系统进行定期轮询以确保其正常的运行和操作。SIEM系统部署计划之一就是确保 SIEM 系统作为企业环境中的关键系统能够被大家认可，并保证其运行的硬件和软件系统被视为高风险，进行配置和管理。

　　我们也要考虑SIEM系统的适应能力。因为，下一代SIEM系统会注重功能的设计，像自适应路径选择，若一条安全事件传递路径不被阻断，那么会有其他的路径跟上来，或者带外信号到中心节点之间的传输信道至少有一条是可用的。

　　目前实现 SIEM 系统安全的有效步骤

　　虽然这些下一代 SIEM 保护功能被纳入未来 SIEM 系统产品，现在还是有很多方法可以确保 SIEM 安全。将一种典型的安全检测方法应用于 SIEM 系统本身，可以有效地实施安全事件收集过程：

　　• 从身份验证和访问控制的角度来看，我们应该对SIEM系统的访问进行精心设置和管理。与企业的 LDAP(轻量级的目录访问协议)目录服务相集成的方法可以确保 SIEM 系统看起来不是孤岛，而是托管环境的组成部分。对系统的访问应该是有限制的，尽可能采用"权限分离"的方法对系统访问进行限制，尤其是特权访问，即任何个人或管理员都不能单独操作系统。

　　• 我们必须考虑安全信息的保密性和完整性，特别是信息收集代理/聚集点和中央管理节点之间的信息传播方式。信息的存储--例如，中央节点的数据库需要考虑其保密性。隐私也要考虑，但这取决于安全事件运用的地点和方式。

　　• 在某些情况下，匿名被应用于安全事件，因此可以确定一个大体的趋势--尤其是管理站外或跨多个客户端时--在组织的控制和管理下，只有有限范围将这种管理转变为事实。

　　• 可以考虑用不可否认性来确保经授权的或其他的开发者无法否认已对项目操作的事实。然而，只有考虑到SIEM事件在初始系统中如何进行集中存储，才确保可以收集充分的操作证据。

　　• 最后，系统的可用性也是一个安全问题，对SIEM系统来说也同样存在问题。从架构来看，未来的 SIEM 产品将有自我修复、 自适应类型的功能。在此期间，业务的灾难恢复方面应确保 SIEM 系统运行在高效的基础设施之上，相对于同时修复的其他关键任务系统，要优先保证SIEM 的有序监测和观察。归根结底，要看造成运行中断或灾难的原因是什么，最重要的是让安全系统首先运行起来，这样可以确保任何突发的模式、警报、 事件或事故是可见的，并且是可以进行调查和反馈追踪的。

　　仔细的部署可以增强 SIEM 系统的安全，但这需要更多的时间来创建增强SIEM产品适应力的架构，而将它们作为整体管理系统中高可用的关键系统则可以马上做到。