SIEM工具為何能幫助企業(yè)“合規(guī)”？

6月6日文 歐盟史上最嚴(yán)隱私保護(hù)法規(guī)《通用數(shù)據(jù)保護(hù)條例》（簡稱GDPR）為歐盟用戶賦予了更多控制個(gè)人數(shù)據(jù)的權(quán)力，同時(shí)也迫使組織機(jī)構(gòu)在存儲(chǔ)或處理歐盟個(gè)人數(shù)據(jù)時(shí)采取更有力的安全和隱私控制措施。雖然目前還沒有一款工具能夠幫助企業(yè)完全滿足 GDPR 的合規(guī)性，但有一系列工具可幫助企業(yè)朝合規(guī)的方向努力，安全信息和事件管理（SIEM）工具就是其中之一。

SIEM工具為何能幫助企業(yè)“合規(guī)”？

安全信息和事件管理（SIEM）工具可在 GDPR 合規(guī)方面發(fā)揮重要作用。過去幾年中，SIEM 的采用率大幅上升，因?yàn)榘?PCI DSS 和 HIPAA 在內(nèi)的復(fù)雜合規(guī)要求需要先進(jìn)的威脅監(jiān)控和管理措施。因此，SIEM 一直是信息安全專業(yè)人士的首選。

SIEM 也與 GDPR 提出的幾項(xiàng)要求相契合。GDPR 在幾個(gè)重要的條款中特別強(qiáng)調(diào)，組織機(jī)構(gòu)須：

?保留其處理數(shù)據(jù)的活動(dòng)記錄；

?記錄正在處理的數(shù)據(jù)類型；

?明確處理數(shù)據(jù)的目的；

?記錄與其共享數(shù)據(jù)的各方；

?為被處理數(shù)據(jù)設(shè)置數(shù)據(jù)保留限制；

?確保采取適當(dāng)?shù)陌踩胧﹣肀Ｗo(hù)數(shù)據(jù)。

SIEM 可以作為所有數(shù)據(jù)收集和分析活動(dòng)的集中點(diǎn)，它可對(duì)系統(tǒng)日志和網(wǎng)絡(luò)信息提供智能分析。一旦 SIEM 配置正確，它便可以查找惡意行為和系統(tǒng)活動(dòng)，在安全事件惡化成為有影響的數(shù)據(jù)泄露事件之前提醒企業(yè)的安全事件團(tuán)隊(duì)。

與此同時(shí)，SIEM所捕獲的數(shù)據(jù)中可能包含個(gè)人可識(shí)別數(shù)據(jù)。因此，了解使用 SIEM 工具來幫助滿足GDPR 合規(guī)性這一舉措所存在的潛在機(jī)會(huì)和威脅，對(duì)于企業(yè)或機(jī)構(gòu)來說至關(guān)重要。

確定數(shù)據(jù)泄露的根本原因

企業(yè)可采用 SIEM，并在將其正確配置后用來識(shí)別網(wǎng)絡(luò)中的安全事件，這有助于證明企業(yè)已部署了適當(dāng)?shù)陌踩刂拼胧﹣硖幚須W盟的用戶數(shù)據(jù)。此外，SIEM 解決方案還允許企業(yè)的分析師快速檢測、防范并調(diào)查潛在的數(shù)據(jù)泄露事件。SANS Institute 的研究分析師在其“2017數(shù)據(jù)保護(hù)調(diào)查”報(bào)告中指出，SIEM 和日志數(shù)據(jù)可用于確定數(shù)據(jù)泄露的根本原因。

當(dāng)企業(yè)向歐盟報(bào)告有影響力的數(shù)據(jù)泄露事件時(shí)，企業(yè)需提供詳細(xì)信息報(bào)告數(shù)據(jù)泄露的范圍，比如哪些數(shù)據(jù)被訪問、哪些數(shù)據(jù)受到影響、對(duì)歐盟數(shù)據(jù)主體構(gòu)成的風(fēng)險(xiǎn)有哪些等等。其中的許多問題可在SIEM解決方案中得到解答。

幫助滿足GDPR 第17條的“被遺忘權(quán)”

SIEM 還能夠幫助企業(yè)滿足 GDPR 第17條的“被遺忘權(quán)”。如果歐盟強(qiáng)制要求，企業(yè)就需要部署刪除數(shù)據(jù)的機(jī)制，此外還需要證明個(gè)人數(shù)據(jù)已被刪除。企業(yè)可以從批量刪除中提取日志數(shù)據(jù)，以此驗(yàn)證數(shù)據(jù)已被刪除。SIEM 的日志數(shù)據(jù)還可以讓企業(yè)了解訪問數(shù)據(jù)的人員以及處理數(shù)據(jù)的時(shí)間。企業(yè)向歐盟監(jiān)管機(jī)構(gòu)提供的數(shù)據(jù)越多則對(duì)其越有利。SIEM 可作為管理這些 GDPR 合規(guī)要求以及在事件響應(yīng)過程中處理事件報(bào)告的集中點(diǎn)。

注意日志處理中的個(gè)人數(shù)據(jù)

按照 GDPR 的定義，個(gè)人數(shù)據(jù)包括姓名、電子郵件、IP 地址等信息。當(dāng)企業(yè)處理日志和網(wǎng)絡(luò)數(shù)據(jù)時(shí)，SIEM 解決方案可能會(huì)保留這些數(shù)據(jù)，從而致使企業(yè)違規(guī)。為了緩解這種威脅，企業(yè)可選擇使用假名和/或加密解決方案。

企業(yè)可將日志中的任何個(gè)人數(shù)據(jù)分開并使用假名，以便其只有在需要時(shí)才能訪問。

當(dāng)數(shù)據(jù)經(jīng)過假名化處理時(shí)，敏感數(shù)據(jù)被替換為不允許識(shí)別數(shù)據(jù)主體的值。

當(dāng)對(duì)數(shù)據(jù)進(jìn)行加密處理時(shí)，企業(yè)可以全盤加密的方式對(duì)端點(diǎn)上的數(shù)據(jù)加密，并通過 SIEM 警報(bào)監(jiān)控這些數(shù)據(jù)

此外，企業(yè)也可對(duì)存儲(chǔ)在備份和存儲(chǔ)基礎(chǔ)設(shè)施中的靜態(tài)數(shù)據(jù)進(jìn)行加密。 SIEM 可對(duì)這些位置的訪問情況進(jìn)行跟蹤，并監(jiān)控任何試圖將數(shù)據(jù)移出網(wǎng)絡(luò)的嘗試。部分 SIEM 工具本身就包含假名或數(shù)據(jù)屏蔽功能，因此企業(yè)也可將 SIEM 視為管理和監(jiān)控 GDPR 合規(guī)性的平臺(tái)。

總的來說，SIEM 解決方案可幫助企業(yè)保護(hù)數(shù)據(jù)。值得強(qiáng)調(diào)的是，SIEM 并不是滿足 GDPR 合規(guī)的終極工具，但可以解決 GDPR 要求的一些技術(shù)和安全控制要求。