介绍
入侵检测系统 (IDS) 是网络安全基础设施中始终存在的要求,以确保服务器或内部网络受到保护。 入侵检测系统是一种硬件设备或软件程序,可主动监控服务器或服务器组的网络策略违规或恶意活动。 任何可疑活动、企图攻击或违反策略的行为都会被报告并记录到位于中央的安全信息和事件管理 (SIEM) 系统数据库,或直接记录到安全管理员以供进一步审查。 本文探讨了 Liquid Web 的入侵检测产品,称为 Alert Logic Security and Compliance Suite。
什么是警报逻辑安全和合规套件?
Liquid Web 的 Alert Logic 安全和合规套件是一个完全托管的白手套入侵检测系统,可在客户端本地网络上的设备/代理模式下运行。 它包括实时活动报告、全天候事件响应、验证和补救操作指导。 该套件还可以帮助企业满足安全合规标准,包括:
- PCI DSS – 处理信用卡交易的企业使用支付卡行业数据安全标准来确保安全措施到位。
- HIPAA – 《健康保险流通与责任法案》确保健康记录得到安全保护。
- 海泰克 – 经济和临床健康信息技术法案鼓励创建和应用健康信息技术。
- GDPR – 《通用数据保护条例》包括欧盟关于数据保护和隐私的法律。
一旦解决方案到位,该服务的设计几乎无需人工干预。
谁是警报逻辑?
Alert Logic 是一家行业领先的网络安全公司,与 Liquid Web 合作,提供成熟且主动的托管检测和响应 (MDR) 解决方案。 Alert Logic 在提供创新的公共云 SaaS(软件即解决方案)安全模型后于 2002 年成立。 该平台包括一个与 24/7 安全运营中心服务集成的入侵检测系统。 2018 年,他们推出了开创性的托管检测和响应解决方案。
什么是耐多药?
托管检测和响应系统为客户提供全天候威胁检测、主动监控和 24/7 响应服务。 MDR 利用先进的基于 AI 的技术,包括分析、威胁情报、人类专业知识事件调查以及部署在主机和网络层的框架。
MDS 解决方案的总体目标是持续审计、审查、评估和检查组织的所有资产。 这种增加的透明度允许对恶意个人可能利用的任何潜在威胁有更大的可见性。 发生事故时,会立即进行审查,并以易于理解的格式发送自定义报告,提供可靠的信息和可能对业务流程产生的影响。 该报告包括与攻击相关的上下文相关信息以及如何解决它。
此外,这项先进的技术还增加了经验丰富的人类智能,以确保主动解决人工智能与系统框架之间可能存在的任何差异。 随着新危害的出现和更新的漏洞信息变得可用,协调的安全分析和威胁管理指标不断增加。
警报逻辑安全和合规套件的功能
Alert Logic 提供了这些独特且定义明确的功能:
- 一个动态的、永远在线的 IDS。
- 详尽的安全监控和全面的事件管理。
- 针对恶意代码、恶意软件和机器人的有保证的端点保护。
- 积极的漏洞扫描措施。
- 通过功能齐全的仪表板提供全面的在线报告。 注意:独立的按需安全扫描也可通过安全仪表板获得。
- 提供广泛的监控、日志记录和管理功能。
- 由精通安全协议最佳实践的经过专业培训的 Alert Logic 专业人员提供强大的 24/7/365 支持。
Alert Logic 安全性和合规性套件的优势
- 威胁防护 – 使用包括无限漏洞扫描、跨越整个攻击面并大规模运行的综合安全套件来降低您的业务风险。
- 威胁情报 – 通过基于行业数据和专家分析的自动化日志管理和详细报告,深入了解您的基础架构面临的威胁。
- 合规最佳实践 – 获取您需要的工具,以跨多项要求保持合规性,包括 PCI-DSS、HIPAA/HITECH、GDPR、SOX、SOC 2、ISO 和 NIST。
- 专家支持 – Alert Logic 的安全运营中心为安全专家提供 24/7/365 全天候支持,以进行事件验证、补救指导等。
漏洞和评估扫描与警报逻辑
Liquid Web 的由 Clone Systems 和 Alert Logic 提供支持的漏洞评估扫描之间的区别在于漏洞评估是从服务器外部执行的每月扫描。 这些扫描为客户提供了对任何潜在安全风险和已知漏洞的详细评估。 Alert Logic 对纳入计划的系统进行持续扫描,并为客户提供即时详细的评估。
每月的漏洞评估扫描可以作为独立产品实施,也可以作为我们的 ServerSecure+ 软件包的一部分实施。 检索这些扫描的结果并通过支持票发送给客户。 漏洞评估扫描由提供我们的 PCI 合规性扫描的同一供应商执行。 相比之下,Alert Logic 是用于提供即时或按需扫描的独立产品。 由 Alert Logic 专业人士协助并就任何调查结果提供建议的结果更加详细和协助。
漏洞评估扫描不应与 PCI DSS 扫描相混淆,后者本质上是不同的,并且侧重于不同的标准。 漏洞评估扫描的通过/失败性质不会以任何方式影响或影响服务器安全配置或合规准备的 PCI 认证。 警报逻辑扫描可用于帮助确保 PCI 合规性。
扫描类型
查看表
| 扫描类型 | 描述 |
|---|---|
| 内部的 | 从环境中的警报逻辑设备运行。 如果用户提供凭据,Alert Logic 会登录到每个主机并执行全面的漏洞检查。 如果未提供凭据,Alert Logic 会执行尽可能多的检查。 |
| 外部的 | 从警报逻辑数据中心运行。 它模拟外部攻击并识别这些类型的攻击带来的任何潜在问题。 |
| 发现 | 仅适用于数据中心部署。 它会扫描您网络上的新资产或资产变化。 |
| PCI | 一种特殊类型的外部扫描,专门用于支付卡行业合规性要求。 |
最佳实践
部署完成时,警报逻辑会创建默认扫描计划。 用户可以编辑或创建额外的计划扫描。 配置扫描时,用户应遵循以下准则以产生成功的扫描结果并最大限度地提高警报逻辑的有效性:
- 在非高峰活动时间运行扫描。
- 在服务器维护期间不要扫描。
- 为获得最佳效果,请在应用任何补丁或更新后运行扫描。
- 使用前扫描新服务器。 感染未打补丁或未受保护的服务器所需的时间可能不到一个小时。
- 经常扫描。 创建一个可以遵守的合理的扫描计划。
- 每周至少运行一次内部和外部扫描并完成。 不完整和不频繁的扫描将错过未检测到的漏洞。
- 扫描 常见的 TCP 和 UDP 港口 每周一次,所有其他港口每隔一段时间。
先决条件
在启用警报逻辑之前,请查看以下先决条件:
- 基于 Linux 或 Windows 的操作系统。 Linux 代理包括 RedHat 和基于 Debian 的软件。
- 足够的带宽来收集用于分析的多个数据流,包括日志消息、网络流量、元数据和其他基于主机的标识信息。
- 实施警报逻辑防火墙规则。
仪表板访问
Alert Logic 提供五个角色,每个角色都有不同的权限级别,分配给其仪表板中的用户帐户:
- 行政人员 – 提供对系统各个方面的完全访问。
- 所有者 – 允许完全访问,但不能创建或删除用户。
- 高级用户 – 管理帐户内的完全访问权限,无需用户管理。
- 支持/关怀 – 为管理帐户及其所有管理帐户提供读取权限。
- 只读 – 允许对管理帐户进行只读访问。
多因素身份验证通过使用一次性密码 (OTP) 提供额外的帐户安全性。 客户可以从他们首选的应用商店下载 OTP 应用,例如 Google Authenticator、Authy 或 1Password。
结论
Alert Logic Security and Compliance Suite 是一个提升的安全选项,可用于增强现有的安全配置文件。 它是一个强大而完善的系统,已经在多个平台和系统上进行了实战测试。 Alert Logic 的持续资产发现和可见性功能改进了对部署的保护。 其定期安排的漏洞扫描有助于检测和修复可能削弱业务的多个漏洞、关键漏洞和恶意软件株的暴露。 立即联系 Liquid Web 解决方案专家,了解有关此必要产品的更多信息,以保护和更好地保护您的基础设施。
