Monitorar o uso malicioso para evitar Hacks
Monitoramento de eventos relacionados com a segurança é essencial para os esforços de segurança em curso para impedir a pirataria. Isso pode ser tão básico e simples como monitorar arquivos de log em roteadores, firewalls e servidores críticos a cada dia. monitoramento avançado pode incluir a implementação de um sistema de gestão de incidentes de segurança de correlação para monitorar cada pequena coisa que está acontecendo em seu ambiente. Um método comum é implantar um sistema de prevenção de vazamento de sistema de prevenção de intrusão ou de dados.
O problema com o monitoramento de eventos relacionados com a segurança é que os humanos acham muito chato e muito difícil de fazer de forma eficaz. Cada dia, você poderia dedicar um tempo para verificar seus arquivos de log críticos da noite anterior ou fim de semana para desentocar intrusões e outros problemas de computador e segurança de rede. No entanto, você realmente quer submeter-se ou alguma outra pessoa para esse tipo de tortura?
No entanto, peneirar manualmente arquivos de log provavelmente não é a melhor maneira de monitorar o sistema. Considere as seguintes desvantagens:
Encontrar eventos de segurança críticos em arquivos de log do sistema é difícil, se não impossível. É muito tedioso uma tarefa para o ser humano médio para realizar de forma eficaz.
Dependendo do tipo de equipamento de registo e segurança que você usa, você pode até não detectar alguns eventos de segurança, como sistema de detecção de intrusão (IDS) técnicas de evasão e hacks que entram em portos autorizados na rede.
Em vez de panning através de todos os seus arquivos de log difíceis de encontrar intrusões, tente o seguinte:
Habilitar o log do sistema em que é razoável e possível. Você não necessariamente precisa capturar todos os eventos de computadores e de rede, mas você definitivamente deve olhar para certas óbvios, tais como falhas de login, pacotes mal formados e acesso a arquivos não autorizados.
Registrar eventos de segurança usando syslog ou de outro servidor central em sua rede. Não manter registros na máquina local, se possível, para ajudar a prevenir os maus de se mexer com arquivos de log para cobrir seus rastros.
A seguir estão algumas boas soluções para o dilema de monitoramento de segurança:
Comprar um sistema de registo de eventos. Algumas soluções de baixo preço, mas eficazes estão disponíveis, tais como GFI EventsManager. Normalmente, os sistemas de registo de eventos de menor preço normalmente suportam apenas uma plataforma OS - Microsoft Windows é o mais comum. soluções high-end, tais como HP ArcSight Logger, oferecer tanto o gerenciamento de log através de várias plataformas e correlação de eventos para ajudar a rastrear a origem dos problemas de segurança e os diversos sistemas afetados durante um incidente.
Terceirizar a monitoração de segurança para um terceiro provedor de serviços gerenciados de segurança (MSSP) na nuvem. Alguns MSSPs estão disponíveis, tais como serviço Assegurar gestão da BT, Dell SecureWorks e Lógica de alerta. agora considerado prestadores de serviços em nuvem, essas empresas muitas vezes têm ferramentas que você provavelmente não seria capaz de pagar e manter. Eles também têm analistas que trabalham em torno do relógio e as experiências de segurança e conhecimento adquirido de outros clientes.
Quando esses prestadores de serviços em nuvem descobrir uma vulnerabilidade de segurança ou intrusão, podem geralmente resolver o problema imediatamente, muitas vezes sem o seu envolvimento. Verifique se as empresas de terceiros e os seus serviços podem libertar algum do seu tempo e recursos. Não dependem exclusivamente de seu monitoramento efforts- um provedor de serviço de nuvem pode ter problemas para pegar o abuso de informação privilegiada, ataques de engenharia social, e hacks de aplicativos web sobre Secure Sockets Layer. Você precisa estar envolvido.