安全kaizen:SIM用于持续质量改进
看待SIM的一个有趣方式是将它作为安全计划的反馈环节。所有政策、配置和安全设备最终会以安全事件的形式来表达自己。SIM是风险管理程序的很好的良性循环机制,还可以用它来确定政策是否在合理运作。
为了将SIM变为强大的反馈机制,安全运营经理必须将其作为持续改进计划的一部分。SIM生成的每个事件都预示着企业安全的成功或失败。当安全专业人员查看安全事件时,他们有可能越过这个事件,并发现政策、流程或控制存在的根本问题。在日本制造业,持续质量改进的过程被称为“kaizen”,对改善安全程序产生巨大影响的概念。
在检查的第一级,安全事件可能突显出日志收集过程中的遗漏或错误。在审查事件时,安全分析师会发现日志信息的关键部分没有被收集。在很多情况下,企业对这种发现并没有马上采取行动,没有带来任何变化。而在持续改进过程中,安全分析师将能够提交变更申请表以添加日志到收集中。
在审查安全事件的过程中,安全分析师会发现一个较早期的重要事件但没有生成警报。这里,企业能够通过添加警报模式到SIM来改进过程。例如,分析师会收到关于不恰当数据库访问模式的警报,如不寻常的SQL查询。在调查该事件时,分析师发现不仅这个具体查询不寻常,而且它是来自不同IP地址和数据库用户,而不是既定的地址和用户。但SIM只针对这个奇怪查询发出警报,而实际上,它可以针对奇怪的连接来源和登录凭证发出警报。通过添加这个模式,分析师能够确保在未来SIM会对这种事件发出警报,让安全团队更快响应。
大多数企业在业务流程和配套基础设施方面持续进行着变革。我们都知道,变化是安全的头号敌人,因为变化会带来错误,而错误带来安全风险。SIM通常是配置错误首先出现的位置,它们可能触发安全警报或者只是不相关的看似虚假的日志信息。因此,安全人员应该密切关注SIM中与变更相关的事件,不仅因为变更可能带来潜在的安全泄露,而且因为变更可能已经破坏了SIM的关联和过滤模式。例如,应用中的常规升级可能将日志信息从“登录失败:未知用户”改为“失败登录:无此用户”。对于我们来说,这两个消息没什么区别,但对于SIM的字符串模式匹配引擎来说,这两者完全不同。如果你在升级前收到警报,你将不会再收到警报。
然而,在最基本的层面,SIM让你能够改善政策和流程,而不只是技术。如果你收集不同的日志、更改模式或者引入新模式,你将会改进SIM。但如果你使用SIM来发现损坏或无效的过程,或误用的安全政策,你会提高企业的整体安全性,而不只是SIM。
想要修复政策和流程,安全分析师需要的不仅仅是变更申请单。为了不断改进,你必须执行事件后审查,并对流程改进有着明确目标。你需要查看安全事件,包括从员工无意的简单政策违规行为到灾难性破坏,以此审查你现有的政策和流程以寻求改进。
安全信息管理工具是安全企业武器库的重要组成部分。这些工具具有很多功能,以至于很多公司都过于延伸,试图快速做太多事情。其结果是,很多SIM部署失败–因为性能问题、操作员过度劳累或者花费太多成本而没有成效。为了避免这种结果,企业应该从小事做起,专注于单个目标,并逐步扩大范围,直到成功。