如何解决遗留应用程序造成的SIEM可见性问题

安详信息和变乱打点体系 (SIEM) 想要会见遗留应用措施中的日记文件和其他数据凡是较量坚苦。下面是一些可以或许进步可见性的要领。

跟着公司越来越擅长通过阐嫡志数据发明隐藏的安详威胁，遗留应用措施会带来难以包围的盲区。数据安详公司Spirion的首席创新官Gabriel Gumbs暗示：当代SIEM (Security Information and Event Management，安详信息和变乱打点)已经逾越了它们本身的传统成果集，成为了先辈的威胁检测和相应平台。

他暗示遗留应用措施提供的日记数据并不老是可以或许有用的迁徙到这些平台上。譬喻，遗留应用措施也许会陈诉谁有权会见体系，但不会陈诉他们有权会见这些体系中的哪些内容。这个可见性题目必要办理，他说道。

当必需监控遗留应用措施来发明威胁时，题目会越发严峻。譬喻，这些应用措施被构建时的安详需求也许与我们本日的需求大不沟通，可能它们是在普及行使最佳实践前被构建的。

这些遗留应用措施还也许拥有已知的裂痕，必要过期和不安详的基本办法，或会见敏感数据或要害体系。“以能源行业为例”，总部位于英国的初创企业 Furnace Ignite(该公司使得从遗留应用措施中网络数据并将其提供应 SIEM 变得越发轻易)首席收集安详工程师 David Mound 暗示，他们有SCADA基本办法，这些对象已经存在许多年了。

停止不须要的惊喜

David Mound 暗示公司偶然不想打仗正在运行的应用措施。不只仅是在能源规模。

遗留应用措施经常不能提供公司所需的监控。譬喻，它们也许会天生气能数据，但不能具体声名哪些用户会见了哪些数据，可能穷乏了安详研究职员赖以发明变乱的情形。假如它们天生了日记，这些日记也许也是以某种专有的、难以行使的名目存储的。

收集安详公司 Trustwave 认真威胁谍报和检测的环球主管 Jeremy Batterman 暗示：出格是内部开拓的遗留应用措施，将会存在明明的可见性题目。

他说当有收集安详变乱产生并必要举办观测时，这是一个大题目。他说：在我处理赏罚过的变乱相应案例中，每每是一次性的应用措施导致了题目。

另外，穷乏日记记录也许会加剧遗留应用措施的其他安详题目。譬喻，在一个案例中，一个公司有一个既毗连到互联网又毗连到其内部收集的遗留应用措施，而没有把它放在 DMZ 中。

在观测事情时代，Batterman 暗示他常常问公司，他们为什么要保存这个遗留应用措施。“凡是和钱有关”，他说道。“更常见的环境是，这种要领合用于他们，所觉得什么要改变它呢?”埃森哲 (Accenture) 春联邦 IT 主管的一项观测表现，37% 的人暗示遗留应用措施对他们抵制收集威胁是一个阻碍，85% 的人暗示除非他们更新技能，不然他们地址组织机构在将来将受到威胁。

收集安详咨询公司 BTB Security 的打点合资人 Ron Schlecht 暗示，为了发明情形中有几多遗留应用措施，企业应该把它们作为威胁和裂痕评估的一部门。他说偶然辰企业很清晰本身的遗留应用措施不安详，由于他们在试图挣脱它们。

遗留应用措施偶然会被忽略。在大大都环境下，这些应用措施很少会被行使，可能仅被较小的部分行使，由于没有任何题目，人们会继承行使它们。

偶然辰应用措施已经被替代了，可是遗留版本如故在运行，这每每让人惊奇。偶然辰，他们只是忘了关掉它。偶然辰，他们如故但愿可以或许在应用措施中会见旧的汗青数据。

Schlect 暗示无论是哪个缘故起因，这些应用措施和处事器都处于闲置状态。任何时辰只要情形中有这些存在，就有也许会有人滥用它们。假如应用措施正在以打点员权限运行，可能具有可用于进级会见权限的成果，则尤其伤害。假如应用措施在旧处事器上，那么其情形中也也许存在裂痕。

当代化遗留应用措施

Schlecht 暗示，第一步是确定原始供给商是否可以或许资助将日记数据从遗留体系迁徙到 SIEM。大概供给商可以提供一个 API 可能至少一些文档。假如没有，可以通过定制开拓事变来实行从应用措施中获取日记。

另一个计策是使整个应用措施当代化，而不只仅是日记成果。这样不只满意了公司的收集安详需求，还可以或许满意合规、可扩展性和其他营业需求。按照 Gartner的一份陈诉，到 2020 年，在数字贸易创新上每投入一美元，就至少有其三倍的资金花在了传统应用措施的当代化上。这笔投资是值得的。除了安详风险之外，遗留应用措施也许无法满意当今的营业需求，无法跟上技能厘革的步骤，难以举办扩展，也许会发生合规风险，并且维护本钱过高。

按照 Gartner 的另一份陈诉，实现遗留应用措施当代化的首要要领有七种：

• 将其封装，并作为处事提供。
• 从头托管。
• 将其移动到一个新的运行平台。
• 重构代码。
• 从头架构应用措施。
• 完全重建或举办重写。
• 替代应用措施，思量到新的要求和需求。

太过计策

当无法对传统应用措施举办当代化或替代时，企业可以回收一些太过计策来办理一些可见性题目。譬喻，假如一个应用措施有一个后端数据库，那么人们就有也许从数据库自己获取会见和行使信息，Trustwave 的 Batterman 说道，假若有流量收支应用措施，收集传感器可以用来捕捉数据包。

Batterman 暗示无论回收哪种太过计策，企业也应该为其遗留应用措施举办出格掩护。

譬喻，BTB 的 Schlecht 暗示，许多企业面对着不得不维护一个旧的、不安详的应用措施的题目，他们会将其沙箱化，并将其放到假造情形或云情形中。这样，假如它受到进攻，对组织机构其他部门的影响将会是最小的。

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安详牛（微信公家号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!