如何界定“威胁”,是通过查看相关日志关键词与“预定规则”有无匹配来判定吗?

2回答

kermitkermit  项目经理 , 某知名零售企业
wuwenpiniwycmq风之未名等赞同了此回答
个人认为,对于企业而言,威胁就是会影响企业正常业务开展的因素。由于企业中信息化程度越来越高,因此对应的信息安全的威胁就越来越多。从大的方面说,我觉得可以从两个方面界定威胁。一个是老板或者业务部门的意见,他们虽然大多数并不懂安全,但是他们能深刻得认识和感受阻碍业务...显示全部

个人认为,对于企业而言,威胁就是会影响企业正常业务开展的因素。由于企业中信息化程度越来越高,因此对应的信息安全的威胁就越来越多。从大的方面说,我觉得可以从两个方面界定威胁。一个是老板或者业务部门的意见,他们虽然大多数并不懂安全,但是他们能深刻得认识和感受阻碍业务发展的信息安全方面的威胁是什么。另一方面,就在于安全人员利用自身专业知识和外部情报,认清对于企业来说最大的威胁是什么。我理解你的问题应该是想问“如何在SIEM系统中通过日志等发现威胁?”。我认为应该是需要定义“威胁用例”。如果能认清企业主要的威胁是什么,那思路就很清晰。比如企业中数据泄漏是主要的威胁,那对应的用例应该就是某几台包含重要数据的服务器的日志中是否有异常的访问记录(如何判断某条日志是否代表异常访问记录,需要结合对于日志本身和实际环境的理解,比如某个服务器只能由GROUP1的用户才能访问,那如果出现了非GROUP1的用户的访问记录就是异常),或者出入该服务器的流量,或者访问的时间是否有异常等多个维度。一个威胁的检测往往可以设计出很多的威胁用例。同时,在实践中还需要对实现的规则经过测试和并在运行中不断调整和改进。

收起
 2017-12-27
浏览707
gaogangtiegaogangtie  其它 , 吉林通钢自动化信息技术有限责任公司
风之未名lxueaixchina等赞同了此回答
威胁,个人觉得来自多方面的,病毒、入侵等等这些都不同程度地引起重视,可以参考各方面的系统或硬件来进行防范,我认为最大的威胁是来自企业内部的,比如私、乱接网络设备,对相关可能产生威胁的外设接入不做相应的规范,尤其要杜绝企业内部员工私用ip,私改IP,造成重要系统的不稳定。...显示全部

威胁,个人觉得来自多方面的,病毒、入侵等等这些都不同程度地引起重视,可以参考各方面的系统或硬件来进行防范,我认为最大的威胁是来自企业内部的,比如私、乱接网络设备,对相关可能产生威胁的外设接入不做相应的规范,尤其要杜绝企业内部员工私用ip,私改IP,造成重要系统的不稳定。

收起
 2017-12-27
浏览744

提问者

hufeng719系统工程师, 山东莱钢永锋钢铁

问题状态

  • 发布时间:2017-12-27
  • 关注会员:3 人
  • 问题浏览:3125
  • 最近回答:2017-12-27
  • 关于TWT  使用指南  社区专家合作  厂商入驻社区  企业招聘  投诉建议  版权与免责声明  联系我们
    © 2019  talkwithtrend — talk with trend,talk with technologist 京ICP备09031017号-30