http://www.isecutech.com.tw/feature/view.asp?fid=257
利用安全資訊管理工具整治資安洪流 作者:文/Joel Snyder 翻譯/李慶發 11/8/2004 相關報導 讀者意見 我們常被資訊安全設備過多的資訊搞的暈頭轉向:防火牆記錄了被允許或拒絕的連線;路由器提供網路流量資訊;伺服器記載了嘗試入侵活動以及使用者行為;而 IDS的警告訊息更是讓我們焦頭爛額。這些大量的記錄都需要極大的時間與精力來解析,但能從中獲得的利益卻少之又少。安全資訊管理(SIM, Security information management)系統可以讓企業控制這些資訊洪流。 SIM可以透過單一的主控台,將各種不同的安全與網路軟體所產生的資訊簡化並正規化,減少真實警訊外的雜訊,並找出對企業確實有用的趨勢與事件。將 10,000筆事件餵給SIM處理,並要求它找出有意義的事件(例如路由器開機失敗或有人在內部慢慢地嘗試猜出整個網路的密碼等等)。 這些只是廣告台詞嗎?我們把這個問題丟給我們的實驗室,將各種安全及網路設備所產生的資料,餵給五個企業級領導品牌的SIM產品:Protego Networks的Mitigation and Response System(MARS)2.5、OpenService的Security Threat Manager v2、NetIQ的Security Manager 5.0、ArcSight的ArcSight 3.0,以及Network Intelligence的enVision Network Intelligence Engine等等。我們根據各SIM的共通元件進行評估:資料收集、分析、警告及回應;鑑識及報表;以及儲存、穩定性與封存等功能。 我們瞭解,要判斷SIM產品的價值,得視你放了多少「智慧」在裡面;而這些「企業規則」,就是用來告訴SIM引擎哪些資訊對企業而言是重要的。因此,這些 產品如何允許你決定規則的自由度,就成了絕對的關鍵。我們所測試的SIM在這方面的表現,都有很大的差異。 資訊集中在你分析資料之前,你必須先收集資料。SIM可以透過syslog 收集大多數的原始資料,而syslog則是每一項網路設備或多或少都有的格式。其中最大的例外就是Windows、Check Point Software Technologies的防火牆以及Cisco System的IDS偵測器。例如,Windows會將資訊儲存到事件記錄檔中及其他像效能監視計數器之類的系統資訊中。未直接支援syslog的設備與 平台通常則需要利用代理程式(agent)來進行資料收集工作。 我們期望受測產品都具備可收納來自其他設備的資訊,尤其是資安界「四大天王」(big four)的產品,並且能有其他特殊的表現。 Protego、ArcSight以及Network Intelligence都能夠輕而易舉地通過syslog測試,但是OpenService以及NetIQ則無法通過。NetIQ是一套極佳的 Windows SIM,但是其資料收集架構則不是為了異質網路而設計的;它的syslog伺服器一次只能夠處理單一種設備類型。如果你的網路是由許多供應商的產品組合而 成,你就得放棄利用單一syslog伺服器來處理每一種設備類型的想法。 OpenService並未將其syslog伺服器整合進Security Threat Manager中,這是個很有趣的策略(奇怪的決定)。由於它是透過協力廠商的軟體來收集syslog資料,因此放棄了對資訊擷取的控制權,而這也是 SIM處理程序的關鍵元件。但即便是透過協力廠商,也沒有太大的幫助,在我們的測試中,OpenService所建議使用的中介軟體就停擺了好多次。 各家廠商用來取得Windows資訊的方法各有所不同,它可以在本機取得利用Windows事件檢視器,或是透過網路從遠端取得資訊?你要選擇哪種方式, 端視哪一類的資訊對你的重要度而定。若是要尋找潛在的複雜問題,如記憶體、磁碟或網路使用狀況,以及哪些程序正在執行等等,則需要本端的代理程式;掃描事 件記錄檔則可透過遠端或本端來完成。而是否需將代理程式部署到每一個Windows系統(無論是只有伺服器還是每一個桌上型電腦)也會影響你的選擇。 有些廠商可以讓你選擇。例如OpenService就能讓你選擇是要利用無代理程式技術來抓取大多數的事件記錄檔,還是要安裝它們的代理程式,以便觀看 CPU使用或磁碟空間等資訊。 NetIQ以Windows為中心的架構,可以輕易地看出使用代理程式的好處。除了擷取記錄檔之外,NetIQ代理程式還能告訴你有哪些程序正在執行,並 能夠刪除禁止的程序以確實實行系統政策。如果你的公司規定了所有人都不能執行接龍程式,那麼NetIQ代理程式便會刪除這個程序。這是NetIQ的最大特 點,雖然這不是一般SIM的核心功能之一。 單是取得資料,表示仗才打了一半。若要將資料變得有意義,你還必須加以解析並正規化。 廠商使用了各種廣泛的技術,以便從各種不支援syslog的設備或系統中抓取資料。Network Intelligence以及ArcSight可藉由讀取磁碟中的檔案、呼叫ODBC、讀取XML交易或接受SNMP訊息等方式來擷取資料。 所有的廠商都提供了一大串的支援設備清單,但是若你的設備不在清單中的話,你還是可以進行一些自訂工作來應變。無論SIM可以讓你利用自訂程式來支援自有 的設備,或是要你另外付費來增加非標準設備的支援,都是很重要的差異點。當你在購買SIM時,請考慮你的網路上有些什麼,以及哪些是你必須付費,才能讓該 產品與你的設備進行溝通。 例如,我們測試環境中的HP交換器使用的是SNMP,而非syslog。但這並不表示SIM無法支援,因為至少它還可以接受SNMP訊息。我們需要對每一 項支援SNMP的產品,自行定義SNMP代理程式,才能戴入HP的MIB並將其對應到正規化的架構中。 最大的問題是你能否自行完成設定。所有的SIM都會根據其資料庫架構,將資料解析進適當的欄位中。不過這得看廠商是否公開這段程序。NetIQ、 OpenService以及Network Intelligence都提供幾乎完全公開的架構。若你要新增設備,你只需打開文字編輯器然後寫上你自己的解析程式即可,你可以利用現存的檔案來當作其 他設備的樣版。 ArcSight可讓你撰寫自己的解析程式,但卻不提供樣版檔案,以免讓其他競爭對手使用其解析程式。即使你不想為自己的設備撰寫任何程式碼,你還是得動 到這些檔案,因為這些檔案都有些臭蟲。這就是Protego所缺乏的部份了?
