身為現代人,不只對於食物有攝取過多的危險,對於無形的食物(資訊)亦然。數位化的時代,讓資料的流通跨越了許多原本存在的隔閡 (如距離、語言等),而且傳遞的速度幾乎是即時的。而在Web 2.0的時代,每個人都可以用各式各樣的方法產生資訊並加以分享,更使得資料數量呈爆炸性的成長,而且無時不在,無所不在。垃圾郵件的問題依舊存在,但是有更多的Blogs、RSS訂閱、Soical Network Platforms與Gadgets ,提供了看似有用或有趣的資訊,甚至很多還是我們自己自願接受的。但是,人的時間畢竟有限,這麼多的資訊,不要說是閱讀了,光是瀏覽都不夠時間。所以資訊過載這個名詞再次被提起,至於怎麼避免或防範,除了增加自己吸收的效率外,最重要的是如何選擇必要的資訊與良好的資訊來源。如果你跟我一樣有資訊焦慮症,要最到後面這點還真需要一番掙扎。
其實早在很多年前,資訊過載的議題就已經存在資訊安全的領域中。我們都知道,幾乎所有的設備、電腦(作業系統)、應用程式都有各式各樣的Log,這些Log提供了我們系統執行時的訊息。除了執行的狀態外,大多數也會針對一些特殊的事件(尤其是異常的事件)作成Log。所以,各個管理者必須將其負責範圍內的Log嚴加監控,以防止問題發生而不自知。簡簡單單的一句話,但是我相信沒有幾個人辦得到,甚至沒有人想真的這樣做。原因很簡單,這些Log不但散落各處,而且每種Log都有其特定的格式與解讀方式,在加上資料量龐大...所以,通常在發生問題後,能夠依據Log找到問題發生的來源並解決之已經算是很好的了。
不過,資訊安全廠商當然有更遠大的眼光,所以就有了 SIM (Security Information Management)或SIEM (Security Information and Event Manager)這類產品,希望能夠把各式各樣的Log訊息集中處理,以期並找出真正危害資訊安全的事件。當然,這類產品的資訊來源並不限於所謂的Log,有些甚至會有自己收集資訊的元件,不過這個其實也可以看是Log的一種,只是這是由廠商自行開發的格式。SIM主要的流程大致為Filtering -> Collecting -> Normalization -> Consolidation -> Correlation -> Analysis -> Alarm & Reaction & Reporting。這個只是可能的流程之一,每個產品會有自己特定的行為與流程,甚至有些流程行為可能會重複一次以上。這個部分礙於篇幅的關係,有興趣的讀者就請自行參考相關連結與其他文件了。這樣的產品立意很好,但是現實是很難達成廠商所宣稱的目標。當然,不用這類產品,光靠人力幾乎沒有辦法產生效果。但是有了產品,問題依然存在。其中最嚴重的問題當屬這麼多事件來源,而且大家又都有自己的格式與意義,要全部收集就已經是不可能的了。所以...第一步就玩不下去了,那後面做得再好也是救不了使用者(產品)。不過,如果我們退一步看,接受所有訊息來源的資料,這點確實本來就是不實際的需求,所以在大部分的情況下,以實務的角度來看,SIM或SIEM還是有相當作用的。
我們在討論許多具備偵測功能的系統時,常常喜歡用Flase Positive與Flase Negative來討論系統的有效性。在是非分明的世界,這樣的分法是適當的。但是在安全的領域中,很多事情卻不是一翻兩瞪眼這麼簡單。因為我們希望SIM/SIEM不僅能針對已經發生的問題產生事後的回應(Reaction),最好能夠在事情正在發生,但是還沒產生危害之前就加以制止(Prevention)。以遠端入侵而言,我們可以說許多都會經過嘗試密碼的動作,所以有錯誤登入是可疑的。但是,要在多少的時間內累積到一定的錯誤次數才是真正可疑,是否要使用同一個帳號、來自同一個IP位址才算是可疑?這麼多的變數,都會影響到系統的判斷。當然,這些東西可以設計成可控制的變數,但是這樣做只是把問題從產品丟到佈署與使用的人員身上,並不能真正提供企業所需的防護。關於這點我認為是目前實際應用上最困難的地方。過於寬鬆的設定,可能會導致預警能力過低。但是過於嚴謹的設定,就會產生所謂愛哭的小孩。愛哭的小孩不像放羊的小孩那般愛說謊,只是喜歡大驚小怪,但是所造成的傷害可能比放羊的小孩還多。
所以,有所謂的異常行為偵測(Abnormality Detection)的技術,希望系統能夠自己判斷何為正常的行為,以期在行為產生偏差時提出警示。這樣的技術都需要在導入初期經過一段時間的學習,以收集足夠的資訊來建立所謂正常行為的資料庫。而且,這類技術也需要在運作中隨時將觀察到的資訊回饋到資料庫,並更新正常行為的資料庫。這樣做有兩個問題,第一個是原先的正常行為,不見得是好的,甚是可能已經違反了公司的資安政策。第二個問題則是心懷惡意的人,有時候可以透過教導的方式,將系統正常行為資料庫的內容漸漸導向特定的異常行為。這部分需要透過分析趨勢(Trending)的方式加以防範,只是這樣的技術並沒有比較簡單,而且使用者要去分析與判斷也相對困難。自動化?當然可以解決一部分的問題,但是還是會衍生出新的問題需要去克服。
SIM/SIEM是一個好的工具,但是要取代人工達成全自動化,可能需要使用到人工智慧才有辦法。當某件事以人來做都很模糊而沒有標準做法時,要以系統來全自動化是很困難的。當然,這樣的系統還是會比絕大多數的人做得還好,只是再好的系統也有其限度,絕非萬靈丹。這是我們應該深刻認知,也是在決定採用前必須加以考量的。其他功能像是發現資安事件發生時,應該採取甚麼措施,這部分應該可以一併由資安事件回應(Incident Response)機制加以制定了。
相關連結:
- Information overload: Is it time for a data diet?
- Security Event Correlation-Where Are We Now
- SIEM Tools Come Up Short
- Magic Quadrant for Security Information and Event Management
留言列表
