介绍
入侵检测系统 (IDS) 是网络安全基础设施中始终存在的要求,以确保服务器或内部网络受到保护。 入侵检测系统是一种硬件设备或软件程序,可以主动监控一个服务器或一组服务器是否违反网络策略或恶意活动。 任何可疑活动、企图攻击或违反政策的行为都会被报告并记录到位于中央的安全信息和事件管理 (SIEM) 系统数据库,或直接提交给安全管理员进行进一步审查。 本文探讨了 Liquid Web 的入侵检测产品,称为 Alert Logic Security and Compliance Suite。
什么是警报逻辑安全与合规套件?
Liquid Web 的 Alert Logic 安全与合规套件是一个完全托管的白手套入侵检测系统,可在客户端本地网络的设备/代理模式下运行。 它包括实时活动报告、全天候事件响应、验证和补救操作指南。 该套件还可以帮助企业满足安全合规性标准,包括:
- PCI DSS – 处理信用卡交易的企业使用支付卡行业数据安全标准来确保安全措施到位。
- HIPAA – 《健康保险流通与责任法案》确保健康记录得到安全保护。
- 海泰克 – 《经济和临床健康信息技术法案》鼓励创建和应用健康信息技术。
- GDPR – 通用数据保护条例包括欧盟关于数据保护和隐私的法律。
一旦解决方案到位,该服务将设计为几乎无需人工干预。
谁是警报逻辑?
Alert Logic 是一家行业领先的网络安全公司,与 Liquid Web 合作,提供成熟且主动的托管检测和响应 (MDR) 解决方案。 Alert Logic 于 2002 年在提供创新的公共云 SaaS(软件即解决方案)安全模型后成立。 该平台包括一个与 24/7 安全运营中心服务集成的入侵检测系统。 2018 年,他们推出了开创性的托管检测和响应解决方案。
什么是耐多药?
托管检测和响应系统为客户提供全天候威胁检测、主动监控和 24/7 响应服务。 MDR 利用基于人工智能的先进技术,包括分析、威胁情报、人类专业知识事件调查以及部署在主机和网络层的框架。
MDS 解决方案的总体目标是持续审计、审查、评估和检查组织的所有资产。 这种增加的透明度允许更好地了解恶意个人可能利用的任何潜在威胁。 发生事故时,会立即进行审查,并以易于理解的格式发送自定义报告,以提供可信的信息和对业务流程的可能影响。 该报告包括围绕攻击及其解决方法的上下文相关信息。
此外,这项先进技术还增加了经验丰富的人类智能,以确保主动解决人工智能与系统框架之间可能存在的任何差异。 随着新危害的出现和更新的漏洞信息可用,协调的安全分析和威胁管理指标不断增加。
Alert Logic 安全与合规套件的功能
Alert Logic 提供以下独特且定义明确的功能:
- 一个动态的、永远在线的 IDS。
- 详尽的安全监控和全面的事件管理。
- 保证端点保护免受恶意代码、恶意软件和机器人的侵害。
- 积极的漏洞扫描措施。
- 通过功能齐全的仪表板提供全面的在线报告。 注意:还可以通过安全仪表板进行独立的按需安全扫描。
- 提供广泛的监控、日志记录和管理功能。
- 强大的 24/7/365 支持由经过专业培训的 Alert Logic 专业人员提供,他们精通安全协议最佳实践。
Alert Logic 安全与合规套件的优势
- 威胁防护 – 使用全面的安全套件降低您的业务风险,该套件包括无限制的漏洞扫描、跨越整个攻击面并大规模运行。
- 威胁情报 – 通过基于行业数据和专家分析的自动化日志管理和详细报告,深入了解您的基础设施面临的威胁。
- 合规最佳实践 – 获取您需要的工具,以保持跨多个指令的合规性,包括 PCI-DSS、HIPAA/HITECH、GDPR、SOX、SOC 2、ISO 和 NIST。
- 专家支持 – Alert Logic 的安全运营中心由专业安全专家提供 24/7/365 支持,用于事件验证、补救指导等。
漏洞和评估扫描与警报逻辑
Liquid Web 的由 Clone Systems 提供支持的漏洞评估扫描与 Alert Logic 之间的区别在于,漏洞评估是从服务器外部执行的每月一次扫描。 这些扫描可为客户提供对任何潜在安全风险和已知漏洞的详细评估。 警报逻辑是对纳入计划的系统进行持续扫描,并为客户提供即时的详细评估。
每月的漏洞评估扫描可以作为独立产品或作为我们 ServerSecure+ 软件包的一部分实施。 检索这些扫描的结果并通过支持票发送给客户端。 漏洞评估扫描由提供我们 PCI 合规性扫描的同一家供应商执行。 相比之下,Alert Logic 是一种用于提供即时或按需扫描的独立产品。 结果更详细,并由 Alert Logic 专业人员提供帮助,他们对任何发现提供帮助和建议。
漏洞评估扫描不应与 PCI DSS 扫描混淆,后者本质上是不同的,并且侧重于不同的标准。 漏洞评估扫描的通过/失败性质不会以任何方式影响或影响服务器安全配置或合规准备的 PCI 认证。 警报逻辑扫描可用于帮助确保 PCI 合规性。
扫描类型
查看表
扫描类型 | 描述 |
---|---|
内部的 | 从环境中的 Alert Logic 设备运行。 如果用户提供凭据,Alert Logic 会登录每个主机并执行全面的漏洞检查。 如果未提供凭据,Alert Logic 会执行尽可能多的检查。 |
外部的 | 从 Alert Logic 数据中心运行。 它模拟外部攻击并识别这些类型的攻击带来的任何潜在问题。 |
发现 | 仅适用于数据中心部署。 它会扫描您网络上的新资产或资产更改。 |
PCI | 一种特殊类型的外部扫描,专门用于支付卡行业合规性要求。 |
最佳实践
部署完成后,警报逻辑会创建默认扫描计划。 用户可以编辑或创建其他计划扫描。 配置扫描时,用户应遵循以下准则以产生成功的扫描结果并最大限度地提高警报逻辑的有效性:
- 在非高峰活动时间运行扫描。
- 请勿在服务器维护期间进行扫描。
- 为获得最佳结果,请在应用任何补丁或更新后运行扫描。
- 使用前扫描新服务器。 未打补丁或未受保护的服务器被感染所需的时间可能不到一个小时。
- 经常扫描。 创建可以遵守的合理扫描计划。
- 每周至少运行一次内部和外部扫描,直至完成。 不完整和不频繁的扫描将错过未检测到的漏洞。
- 扫描 常见的 TCP 和 UDP 港口 每周一次和所有其他端口每隔一段时间。
先决条件
在启用警报逻辑之前,请查看以下先决条件:
- 基于 Linux 或 Windows 的操作系统。 Linux 代理包括 RedHat 和基于 Debian 的软件。
- 足够的带宽来收集多个数据流进行分析,包括日志消息、网络流量、元数据和其他基于主机的识别信息。
- 实施警报逻辑防火墙规则。
仪表板访问
Alert Logic 提供五个角色,每个角色都有不同的权限级别,分配给其仪表板中的用户帐户:
- 行政人员 – 提供对系统各个方面的完全访问权限。
- 所有者 – 允许完全访问但不能创建或删除用户。
- 超级用户 – 管理帐户内的完全访问权限,无需用户管理。
- 支持/关怀 – 为管理帐户及其所有管理帐户提供读取访问权限。
- 只读 – 允许对管理帐户进行只读访问。
多因素身份验证通过使用一次性密码 (OTP) 提供额外的帐户安全性。 客户可以从他们喜欢的应用程序商店下载 OTP 应用程序,例如 Google Authenticator、Authy 或 1Password。
结论
Alert Logic 安全与合规套件是一个提升的安全选项,可用于增强现有的安全配置文件。 它是一个强大而完善的系统,已经在多个平台和系统上进行了实战测试。 Alert Logic 的持续资产发现和可见性功能改进了对部署的保护。 其定期安排的漏洞扫描有助于检测和修复可能削弱业务的多个漏洞、关键漏洞和恶意软件。 立即联系 Liquid Web 解决方案专家,了解有关此必要产品的更多信息,以保护和更好地保护您的基础设施。