安全kaizen：SIM用于持续质量改进

　　看待SIM的一个有趣方式是将它作为安全计划的反馈环节。所有政策、配置和安全设备最终会以安全事件的形式来表达自己。SIM是风险管理程序的很好的良性循环机制，还可以用它来确定政策是否在合理运作。

　　为了将SIM变为强大的反馈机制，安全运营经理必须将其作为持续改进计划的一部分。SIM生成的每个事件都预示着企业安全的成功或失败。当安全专业人员查看安全事件时，他们有可能越过这个事件，并发现政策、流程或控制存在的根本问题。在日本制造业，持续质量改进的过程被称为“kaizen”，对改善安全程序产生巨大影响的概念。

　　在检查的第一级，安全事件可能突显出日志收集过程中的遗漏或错误。在审查事件时，安全分析师会发现日志信息的关键部分没有被收集。在很多情况下，企业对这种发现并没有马上采取行动，没有带来任何变化。而在持续改进过程中，安全分析师将能够提交变更申请表以添加日志到收集中。

　　在审查安全事件的过程中，安全分析师会发现一个较早期的重要事件但没有生成警报。这里，企业能够通过添加警报模式到SIM来改进过程。例如，分析师会收到关于不恰当数据库访问模式的警报，如不寻常的SQL查询。在调查该事件时，分析师发现不仅这个具体查询不寻常，而且它是来自不同IP地址和数据库用户，而不是既定的地址和用户。但SIM只针对这个奇怪查询发出警报，而实际上，它可以针对奇怪的连接来源和登录凭证发出警报。通过添加这个模式，分析师能够确保在未来SIM会对这种事件发出警报，让安全团队更快响应。

　　大多数企业在业务流程和配套基础设施方面持续进行着变革。我们都知道，变化是安全的头号敌人，因为变化会带来错误，而错误带来安全风险。SIM通常是配置错误首先出现的位置，它们可能触发安全警报或者只是不相关的看似虚假的日志信息。因此，安全人员应该密切关注SIM中与变更相关的事件，不仅因为变更可能带来潜在的安全泄露，而且因为变更可能已经破坏了SIM的关联和过滤模式。例如，应用中的常规升级可能将日志信息从“登录失败：未知用户”改为“失败登录：无此用户”。对于我们来说，这两个消息没什么区别，但对于SIM的字符串模式匹配引擎来说，这两者完全不同。如果你在升级前收到警报，你将不会再收到警报。

　　然而，在最基本的层面，SIM让你能够改善政策和流程，而不只是技术。如果你收集不同的日志、更改模式或者引入新模式，你将会改进SIM。但如果你使用SIM来发现损坏或无效的过程，或误用的安全政策，你会提高企业的整体安全性，而不只是SIM。

　　想要修复政策和流程，安全分析师需要的不仅仅是变更申请单。为了不断改进，你必须执行事件后审查，并对流程改进有着明确目标。你需要查看安全事件，包括从员工无意的简单政策违规行为到灾难性破坏，以此审查你现有的政策和流程以寻求改进。

　　安全信息管理工具是安全企业武器库的重要组成部分。这些工具具有很多功能，以至于很多公司都过于延伸，试图快速做太多事情。其结果是，很多SIM部署失败–因为性能问题、操作员过度劳累或者花费太多成本而没有成效。为了避免这种结果，企业应该从小事做起，专注于单个目标，并逐步扩大范围，直到成功。