國華盛頓郵報公司安全團隊開發出利用賽門鐵克資料庫安全與審計(SDSA)設備監視資料庫的一系列客戶化的政策。他們是如何在已有安全策略基礎上做優化的呢?又是如何保證策略的實施呢?
雖然賽門鐵克的這種設備配置了一些現成的安全政策,但是,這家公司不斷地優化這些政策以便減少誤報,以便使安全團隊把注意力集中在真正的安全問題上。華盛頓郵報信息安全和隱私部門經理Stacey Halota總結並提出了在策略優化過程中遇到的一些經驗。
1.你要了解你要得到什麼。在執行政策的時候,重要的是不要制定泛泛的安全政策。你要特別認真,你要知道你的要求不太過分,因為你不需要大量的沒有真正意義的信息。監視應用程式的ID就是一個例子。有些應用程式在執行各種功能的時候反覆調用這個應用程式的ID。最終用戶看不到這個ID,但是,這個ID一直在與資料庫進行互動。因此,如果你查看它更新的東西,那可能有100萬個東西。
要把重點放在異常情況方面。我們關心的是這個應用程式ID是否來自於意想不到的地方。因此,我們知道這個應用程式ID總是來自於應用伺服器的某個地址。我們不是在應用程式ID每一次更新某些東西的時候都進行檢查,我們重點檢查來它的更新是否來自自某些地址以外的其它地方。你在兩分鐘之內就可以創建一個這樣的政策。
2.注意漏報。即使你認真設置了政策,這些設備仍可能出現錯誤。例如,賽門鐵克資料庫安全和審計設備向Halota的團隊發出了這個資料庫的某些區域存在風險的警報。這個設備認為我們的數據的一個欄位是一個信用卡號碼,實際上卻不是。當我們第一次看到這種警報的時候,我們認為所有這些財務記錄都應該從資料庫中取出來。但是,這些數據實際上不是財務數據。
3.不斷改進設置。Halota認為制定政策是一個反覆的過程。總的來說,我們制定安全政策用了一個月的時間。我們當時有一些現成的政策,但是,其它一些政策需要更長的時間。你在先制定一些安全政策,然後下個月再制定一些安全政策,之後在執行的過程中對這些安全政策不斷地進行調整。這是你一直要做的事情。