安防监控系统优化的三大方案介绍

2019-04-01 09:00:17 5

本文中,我们主要基于真实环境提出三种可解决此问题的有效方法。

  一、真正有价值的事件

  安防监控系统的最大问题就是哪些异常会引发事件。作为安全运营团队面临的挑战之一是要从众多事件中找出相关且有意义的事件,而这事件中混杂着太多误报。在解决这一问题前,就是要明白该如何定义一个事件,当然,需要根据安防监控系统所属领域来定义。在实际决策中,首先需要非常了解专业领域,然后使用复杂算法,来找到真正的目标。

  例如,在内部威胁领域,安防监控系统可识别出某一用户是首次进行数据库操作。但由于之前没发生过此类操作,因此会被视为异常,但这就是真正的安全事件了吗?为了回答这个疑问,我们需将用户和数据库进行分类,以及将二者进行关联分析。这样才能让你对整个事件有深入的了解,而不是仅仅停留在表面。

  二、事件分组

  一旦识别出真正有价值的事件,可基于事件描述的具体场景进行分组,降低事件数量,使安全工程师可对同类事件整体处理。尽管每个单一事件可能是有效的,但是当事件按类别组合在一起,更多、更易于理解的说明信息显示这些事件可以作为一个整体来处理,这样可大幅提高处理效率。

  三、两类分组方式:

  1. 按事件类型分组。例如:多个用户滥用一个服务账号。

  这表示该服务账号为某一群体所共用,这并不是一个好的做法。可通过调整账号权限来解决此类问题。

  2. 按事件描述内容进行分组。例如,某一用户滥用特定的数据库帐号、访问了某些应用数据表,并访问了大量文件。这意味着该用户可能会损害企业的数据。应对用户及其行为进行评估。

  根据Imperva CounterBreach的客户数据示例,可以看到经过分组,客户需要处理的事件数量大幅减少。虽然事件在持续增加,但分组数量却增加缓慢,直至不再新增分组。

  

  东莞安防

  图1: 用13个分组取代了377个事件

  事件优先级评分

  过去,安全事件优先级划分通常是通过将事件划分为严重程度(严重、高、中、低)来完成。这种类型的分类并不能明确决定首先应该做什么。假设有10起事件被归类为严重事件。所有的事件必须立即处理,但首先应该处理哪一起?

  建议为各类事件设置优先级评分制,分数范围为0至100。不同的事件和得分标准使用不同的计算方法,最后得出优先级评分。

  例如:“数据库记录访问过多”事件的传统优先级为高,因为这种情况下可能意味着数据被盗。

  当这类事件同时发生两笔,乍一看,应按同一紧急程度处置,但这两笔事件的优先性真的是一样吗?

  下面来看一下具体情况:

  1. 一个用户访问了生产环境数据库中的105000条记录。

  2. 一个用户访问了测试环境数据库中的100000条记录。

  可以明确看出,第一笔事件的处理应优先于第二笔,因为它的危害性更大。

  使用新的评分法后:

  事件类型:数据库记录访问过多:得70分

  记录的访问数量》 100000 :加+5分

  生产环境数据库:加+10分

  根据上述算法,前述第一条事件的最终优先级分数为85分,而第二条事件的评分为70分。

  支持分组评分

  正确使用评分标准及分值,是决定事件处置顺序与事件优先级相比配的基本要素。但这需要对被监控的对象有深入了解。

  方法的使用

  这几种方法都可以减少所需处置的事件数量,但最好能同时应用。

  如上例所示,虽然真正有价值的事件数量仍然很多,特别是监控范围较广的情况下。事件分组可极大的减少所需处理的事件数量。而设置优先级评分,可以帮助了解哪类事件或哪组事件需要优先处理。