SIEM对于《个人信息保护法》的重要性 – 作者:serene33

《个人信息保护法》(POPIA)的一个重要职能是向有关部门和数据主体通报数据安全漏洞(未经授权的个人数据泄露)。

从欧盟(GDPR)到美国(CCPA),再到巴西,菲律宾和澳大利亚,世界各地的数据保护法规都有数据泄露通知方面的要求,目的是让企业对个人数据的保护负责,也对其保护数据的措施负责。这也解释了为什么如果企业不遵守POPIA就有可能遭受高达1000万的罚单。

企业该做什么?

根据 POPIA的第22节,关于安全漏洞的通知,企业必须对未经授权的访问以及数据的窃取发送通知。

视具体情况而定,该通知还必须以物理或电子形式发送到数据主体,并且在公司官网发布或向媒体宣布。值得注意的是,这不仅仅是一个简单的通知,关于违规的重要细节还必须汇总在内,例如:

个人数据泄露能引起的后果或危害。

企业解决违规行为而采取的措施。

关于数据主体如何保护自身安全的建议。

数据窃取者的身份信息。

有关更多详细信息,请参考POPIA官方介绍。为了达到这些要求,企业必须使用技术手段(数据安全解决方案)来保护个人数据在收集、处理及存储上的安全。

使用安全监控技术保护网络免遭攻击

首先,企业应部署预防性安全控制措施(例如定期修补其系统,配置防火墙策略和将应用程序列入白名单)来减少网络遭到破坏的机会。

但是,预防性安全解决方案并不能保证网络百分百安全,为此,企业还必须能够发现并及时阻止那些绕过安全措施的事件。这就是网络安全监控解决方案的价值所在。

网络监控可以使您在早期阶段迅速识别攻击,进而及时地帮助您阻止入侵尝试。即使在数据已遭泄露的情况下,您也可以及时收集安全漏洞报告所需的重要证据。

别忘了,安全漏洞的通知必须包含有关事件的重要详细信息,这其中就包括企业已采取的补救措施。因此,鉴于POPIA的需要,网络日志以及安全信息和事件管理(SIEM)就变得至关重要。

您可从以下4个方面立即着手网络监控以提高数据安全性:

1.数据访问和修改:通过跟踪未经授权的设备,打印机和电子邮件活动来加强防止数据泄漏的措施。

2.活动目录更改审核:跟踪对用户、计算机、组、组织单位和组策略对象所做的更改活动。

3.网络边界监控:审核传入和传出流量,并注意恶意通信。

4.用户活动监视:跟踪用户执行的操作,例如用户的登录和用户执行的文件访问,尤其是那些访问关键资源的特权用户,时刻监控他们的异常活动事件。

为什么网络集中监控如此重要?

SIEM解决方案可以让您深入了解网络中发生的重要安全事件。这样您可以及早发现潜在的安全事件,快速调查并及时解决这些安全事件。

阅读如下案例:将用户添加到Active Directory中的Enterprise Admin组,可以升级该用户的域特权。但此类事件可能会出现未经授权的访问,进而可能危及到您的系统安全。

在非工作时间内,多个帐户短时间内发生多次登录失败,这可能是密码攻击。网络中的受感染主机正在与回调数据服务器通信,此时应该考虑您的敏感数据正在被窃取。

您是否正在遭遇类似情况?那么您应立即查明并阻止此类案件的发生。随着POPIA的实施,现在是您评估公司网络安全并增强网络监控措施的最佳时机。

SIEM的必备功能

SIEM解决方案是在企业中实施端到端安全监控的理想方法。下面列出了几个基本的SIEM功能:

1.日志聚合:集中收集服务器、应用程序、防火墙、数据库以及网络中重要组件的日志。

2.日志归档:安全存储日志,以便在发现违规行为时可以进行调查取证。

3.审核日报:审核关注的安全事件并发现可疑事件并生成日报。

4.告警:设置告警以响应网络安全威胁。

5.文件完整性监视:跟踪所有对文件和文件夹的访问、创建、删除、修改和重命名等活动。

6.用户行为分析:分析用户行为和系统行为并发现异常活动,通常这些活动是典型的网络攻击。

7.威胁情报:与国际主流威胁情报平台同步,监控其与列入黑名单的IP、域和URL的网络通信。

8.事件管理:利用自动化工作流等技术简化事件的调查、管理和响应过程,节省人力和时间。

本文转载自:ManageEngine IT运维管理

来源:freebuf.com 2020-09-15 19:30:56 by: serene33

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论