在今年的迈阿密渗透安全会议上,John Grigg带领观众通过一个共同的目标网络,其中集成了一个已知和常用的SIEM,以向与会者展示如何利用SIEM,找到英特尔,并掩盖他们的踪迹。
虽然SIEM技术应该帮助保护网络,格里格说,他们经常被错误地配置,从而产生更多的漏洞。
尽管一些传统工具是很酷,格里格说,问题是,没有人真正知道平台很好。“谁建造它知道它从设计的角度来看,再有就是重新selllers,谁安装的家伙,谁继承了系统内部的IT人员,但他们往往没有真正专注于它的供应商。”
当他们请专家来帮助解决问题时,他们已经和了解产品的人有了至少几度的距离。
Grigg说,即使设计师和程序员非常了解他们的作品,他们也不总是能看到全局。
“很多漏洞的是坏的配置,从咨询不佳造成的。这些东西是不是意味着一个巨大的公司,”格里格说。他指着几乎将手指指向他人打下怪,因为格里格说,早年他曾可能提供了一些不好的顾问。
“我开始我的哥们通知谁是真正的好顾问,并看着他们做他们的工作,我想,“我可能不应该被允许接触这个东西”。不幸的是,有糟糕的顾问是常态,”Grigg说。
许多公司雇佣第三方来做“解决问题”的人。那些专门从事SIEM平台的人,就像Grigg最终做的那样,发现自己“在修复那些超级混乱的东西,”他说。
因为SIEM行业的很多软件都是旧软件,只是重新设计和重新包装了相同的工具,Grigg说,“那些后门今天仍然存在。”
另一个问题是,“很多人没有得到修补,因为人们不想犯一个错误。它们是进入网络的一个巨大途径,而且总是会添加新的功能,从而带来新的漏洞,”Grigg说。
弗雷斯特研究公司的高级分析师约瑟夫·布兰肯希普在最近的一份报告中写道,供应商前景:安全分析(SA),“在它的第一个化身,[SiM]没有达到它的期望,因为它缺乏能力摄取,关联和分析来自各种来源的大量数据。”
然而,以规则为基础的技术的精度不其唯一的垮台。马克·奥兰多,CTO雷神前景保安称,“其中最大者的是,在许多情况下,SIEM基础设施不喜欢网络的其余部分进行管理。”
当保持补丁及时更新和管理的安全最佳做法并不适用于他们的安全基础设施,它留下暴露的平台。“在某些情况下管理整个网络的人并不在管理所有的基础设施,所以它不是最新的,它没有被管理,”奥兰多说。
因为锡姆斯已经被定位为关键和敏感数据的轮毂,这使得它们容易受到攻击。“当他们聚集这么多敏感数据到一个中心位置,他们的定位这个枢纽为攻击者一个相当大的目标,”奥兰多说。
在许多情况下,组织也给出了锡姆斯很大的出入,而奥兰多说,它不仅是从网络的其他部分获得了SIEM同时也获得主动收集数据。
暹就是一切从数据库,Web服务器和应用程序服务器和更多的复杂的架构,并在所有这些组件的应用程序巨大的名单,奥兰多说。
“每个的这些部件需要单独维护,他们需要考虑哪些组件别人说话和思考的端口和协议,他们需要确保它们的补丁和更新,”奥兰多说。
在安全的最佳实践包括管理人员,流程和技术,但往往奥兰多说,“有端口和永远不会暴露协议,但因为它的一部分的SIEM的,人不把它讲究。”
因此,研究人员和攻击者都在关注和攻击SIEM。
为了缓解企业面临的安全风险,“同样的安全最佳做法在其他地方的网络中应用到的基础设施。尽可能限制,减少攻击面,降低端口和协议,只允许什么是必要的获取数据。”
E8 security的安全策略主管马特·罗杰斯(Matt Rodgers)表示,尽管他没有听到很多人谈论SIEM内部存在的漏洞问题,但他表示,“对于任何安全实践而言,问题都归结于人员、流程和技术。”
Rodgers说:“任何工具的漏洞显然都需要解决,但我认为,我很少听到有关这个话题的一个原因是,很多安全运营团队在他们认为相对稳定和安全的环境中工作。”
Rodgers说,无论这是一个公平还是错误的假设,SIEM或任何其他工具中存在的特定漏洞都应该通过它们所遵循的程序被消除。
尽管SIEM被广泛使用,但它实际上并不是一个安全工具,而是一个管理工具。与大多数遗留工具一样,接下来的10项技术正在使用机器学习人工智能提供更好更有效的能力。
Rodgers说:“如果你看看市场,供应商已经开始建立安全分析(SA),而一些SIEM供应商正试图通过声称他们的一些相邻的用例来侵犯SA供应商。”
今天,即使在世界上最大的SOC,他们有一组与SIEM解决使用情况,说罗杰斯,但“其他人已经发展需要不同的方法。我们将看到这些和其他工具变得更加集成,并能共享数据和情报,以提供更好的服务“。
一些新的球员都在他们有一个几乎不公平的优势一个非常好的位置,在包含大量的开源工具和技术的环境中长大,罗杰斯说。
无论他们依赖的是传统的SIEM工具还是下一代的SA工具,Grigg说:“了解产品。对SIEMs进行某种内部渗透测试,或者引入红队漏洞评估,并进行真正好的编码实践。”
SIEM可以处理所有的事情,所以确保他们执行良好的实践,“不要重复使用密码,也不要使用默认密码。这解决了大约95%的问题。”
这个故事,“我们准备告别暹罗了吗?”最初出版由CSO 。