SIEM工具为何能帮助企业“合规”？

6月6日文 欧盟史上最严隐私保护法规《通用数据保护条例》（简称GDPR）为欧盟用户赋予了更多控制个人数据的权力，同时也迫使组织机构在存储或处理欧盟个人数据时采取更有力的安全和隐私控制措施。虽然目前还没有一款工具能够帮助企业完全满足 GDPR 的合规性，但有一系列工具可帮助企业朝合规的方向努力，安全信息和事件管理（SIEM）工具就是其中之一。

SIEM工具为何能帮助企业“合规”？

安全信息和事件管理（SIEM）工具可在 GDPR 合规方面发挥重要作用。过去几年中，SIEM 的采用率大幅上升，因为包括 PCI DSS 和 HIPAA 在内的复杂合规要求需要先进的威胁监控和管理措施。因此，SIEM 一直是信息安全专业人士的首选。

SIEM 也与 GDPR 提出的几项要求相契合。GDPR 在几个重要的条款中特别强调，组织机构须：

Ÿ保留其处理数据的活动记录；

Ÿ记录正在处理的数据类型；

Ÿ明确处理数据的目的；

Ÿ记录与其共享数据的各方；

Ÿ为被处理数据设置数据保留限制；

Ÿ确保采取适当的安全措施来保护数据。

SIEM 可以作为所有数据收集和分析活动的集中点，它可对系统日志和网络信息提供智能分析。一旦 SIEM 配置正确，它便可以查找恶意行为和系统活动，在安全事件恶化成为有影响的数据泄露事件之前提醒企业的安全事件团队。

与此同时，SIEM所捕获的数据中可能包含个人可识别数据。因此，了解使用 SIEM 工具来帮助满足GDPR 合规性这一举措所存在的潜在机会和威胁，对于企业或机构来说至关重要。

确定数据泄露的根本原因

企业可采用 SIEM，并在将其正确配置后用来识别网络中的安全事件，这有助于证明企业已部署了适当的安全控制措施来处理欧盟的用户数据。此外，SIEM 解决方案还允许企业的分析师快速检测、防范并调查潜在的数据泄露事件。SANS Institute 的研究分析师在其“2017数据保护调查”报告中指出，SIEM 和日志数据可用于确定数据泄露的根本原因。

当企业向欧盟报告有影响力的数据泄露事件时，企业需提供详细信息报告数据泄露的范围，比如哪些数据被访问、哪些数据受到影响、对欧盟数据主体构成的风险有哪些等等。其中的许多问题可在SIEM解决方案中得到解答。

帮助满足GDPR 第17条的“被遗忘权”

SIEM 还能够帮助企业满足 GDPR 第17条的“被遗忘权”。如果欧盟强制要求，企业就需要部署删除数据的机制，此外还需要证明个人数据已被删除。企业可以从批量删除中提取日志数据，以此验证数据已被删除。SIEM 的日志数据还可以让企业了解访问数据的人员以及处理数据的时间。企业向欧盟监管机构提供的数据越多则对其越有利。SIEM 可作为管理这些 GDPR 合规要求以及在事件响应过程中处理事件报告的集中点。

注意日志处理中的个人数据

按照 GDPR 的定义，个人数据包括姓名、电子邮件、IP 地址等信息。当企业处理日志和网络数据时，SIEM 解决方案可能会保留这些数据，从而致使企业违规。为了缓解这种威胁，企业可选择使用假名和/或加密解决方案。

企业可将日志中的任何个人数据分开并使用假名，以便其只有在需要时才能访问。

当数据经过假名化处理时，敏感数据被替换为不允许识别数据主体的值。

当对数据进行加密处理时，企业可以全盘加密的方式对端点上的数据加密，并通过 SIEM 警报监控这些数据

此外，企业也可对存储在备份和存储基础设施中的静态数据进行加密。 SIEM 可对这些位置的访问情况进行跟踪，并监控任何试图将数据移出网络的尝试。部分 SIEM 工具本身就包含假名或数据屏蔽功能，因此企业也可将 SIEM 视为管理和监控 GDPR 合规性的平台。

总的来说，SIEM 解决方案可帮助企业保护数据。值得强调的是，SIEM 并不是满足 GDPR 合规的终极工具，但可以解决 GDPR 要求的一些技术和安全控制要求。