科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全企业如何从连续安全监控中获益(二)

企业如何从连续安全监控中获益(二)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

美国DHS部署了CDM项目,以对联邦政府最重要的网络资源部署连续监控。本文将探讨连续安全监控的概念以及企业如何从这种部署中获益。

来源:TechTarget中国 2014年1月28日

关键字: 安全监控 CSM 企业安全

  • 评论
  • 分享微博
  • 分享邮件

企业CSM工具:利用你现有的设备

在考虑哪些现有工具可用于连续安全监控时,请注意,这些工具不能作为专用CSM系统的长期替代方案,而只是暂时替代。如果企业已经有IDS/IPS、漏洞管理产品、网络枚举解决方案和某种类型的网络日志记录机制,就已经可以部署一个简单的CSM系统。

当涉及IDS时,一个流行的开源工具是Sourcefire(现在已归思科公司所有)的Snort。这个广受欢迎的产品提供了非常灵活的规则管理系统,使你可以从社区更新,并补充你自己的自定义脚本规则来监控你的网络上的状况。

网络枚举

另外一个经常被忽略的CSM部分是网络枚举。对于现在企业网络内日益流行的携带自己设备到工作场所(BYOD)策略,这尤为重要。简单地说,你很难连续监 控你不知道其存在的东西。虽然网络枚举工具有多种多样,我们知道一个非常受欢迎的易于使用的经过时间检验的开源工具是Nmap。市面上有很多针对Nmap 的不同的图形用户界面,但Nmap的核心是一个命令行工具,很像Snort,具有很强的可编写脚本性。例如,如果系统管理员知道其内部网络IP范围是 10.0.0.0/16,那么,为了定位该网络范围内的每台设备,他们应该键入以下命令:

nmap 10.0.0.0/16 >> mytextfile.txt

这个命令可以告诉Nmap工具定位给定子网内的每台设备,并输出节点信息到文本文件,这将帮助系统管理员更好地识别所有网络设备。

日志记录:没有它的话,CSM不会成功

对于连续安全监控,最后也许是最重要的方面是日志记录。日志提供了有关系统和网络上的活动的重要审计线索,使安全专业人员可以重新建构可能导致安全事故的 事件。日志分析工具可以检测问题并找出不可能被发现的问题。例如,对于通过直接登录到敏感机器而没有产生网络流量的内部攻击,日志分析可能是唯一的安全信 息来源。

与网络枚举工具一样,日志记录工具也是多种多样的,但可以肯定地说,现在企业中有一个非常流行(如果说不是最流行)的日志记录机制是Linux服务— syslog。由于syslog具有高度可编写脚本性,并且具有非常细粒度的数据收集水平,很多企业发现他们可以很容易地调整其日志记录功能来满足其特定 需求。例如,如果系统管理员想发送所有Snort警报到syslog服务器,他们会浏览到etc/snort/snort.conf 并在配置文件末尾增加以下命令:

output alert_syslog:host=10.0.0.1:514, LOG_AUTH LOG_ALERT

上述命令的前提是,该syslog服务器的IP地址是10.0.0.1,并且它正在监听UDP端口514。当系统管理员配置警报来记录异常入站和/或出站连接、在本地网络中插入新设备或管理员认为值得警惕的其他网络事件时,这个命令特别有用,并具有高度可扩展性。

结论

连续安全监控正在联邦政府和私营部门内获得推动力。国土安全局的CDM举措为联邦政府用户提供了一个共同的框架,并概述了适合各行各业企业的部署方法。这 个框架的可用性,以及CDM采购协议(各种安全监控工具)应该会推动联邦政府内的部署。并且,联邦政府的举措很可能会推动私营企业,在整个公共和专用网络 内给安全基础设施部署带来一种新的紧迫感。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章