转载于51cto.com
有志于对信息系统所产生的大量数据加以分析的企业必须检查用户访问、配置变更以及其它日志事件。
无论是为了提升性能、收集商业情报还是检测安全威胁,日志管理工作都应被划分为以下三个步骤:收集日志、存储数据并通过分析将数据转化为可识别模式。
然而,作为安全网络协会提出的二十大关键性安全控制机制之一,日志数据收集与分析并没有得到大多数企业的重视及严格执行。除非法律或者法规做出明确规定,否则企业管理者根本不关心技术人员有没有定期收集并分析日志内容。IT管理及监控软件企业SolarWinds公司产品经理Nicole Pauls表示,面对如此规模的数据总量,信息技术专家很可能搞不清该从哪里入手。
“当人们接触日志管理工作时,往往会被立刻淹没在大量数据的海洋当中,”她表示。“大家希望努力找到其中的异常、固有模式或者某些蛛丝马迹,但这真的非常困难。”
戴尔安全事务反威胁部门主管Ben Feinstein指出,优秀的安全日志分析方案需要包含四大原则。首先,企业需要监控正确的日志对象,例如防火墙、虚拟专有网络(简称VPN)设备、网络代理以及DNS服务器。其次,安全团队必须收集那些在企业网络中看似“寻常”的数据。第三,分析人士必须能够从日志文件中识别出攻击活动指标。最后,安全团队必须制定执行流程,用于响应通过日志分析识别到的事件。
“如果安全团队无法从监控系统中正确找到负面或者可疑活动,单纯将全部日志推向SIEM(即安全信息与事件管理)系统对于安全工作其实毫无用处,”Feinstein解释称。
根据安全专家的建议,企业应该着重检查五种事件类型。
1. 异常用户访问
Windows安全日志以及Active Directory域控制器记录是发现网络恶意活动的良好起点。根据惠普Arcsight产品营销经理Kathy Lam的说法,权限、来自未知位置的远程用户登录以及利用一套系统访问其它内容的行为都是恶意活动的显著特征。
“在观察恶意攻击类型以及黑客进入业务环境的过程中,我们发现恶意人士往往会在数月甚至超过一年的漫长周期中始终冒充普通用户,”她指出。“通过整理网络活动基准并将当前活动与之相比较,安全人士能够切实发现攻击活动。”
在安全工作当中,最重要的保护群体要数那些特权账户——这部分用户在各类网络系统中拥有管理员级别的权限。由于这些账户有能力对网络进行深层变更,因此大家需要打起十二分精神对其加以监控。
2. 与威胁指标相匹配的模式
企业还应当将日志中的数据与其它各类来源信息加以比较,包括建立黑名单或者更具完整性的威胁情报服务,SecureWorks公司 的Feistein建议道。
威胁指标能够帮助企业识别可疑IP地址、主机名、域名以及来自防火墙、DNS服务器或者网络代理日志的恶意软件签名。
“网络代理日志对于网络流量而言是一种强大的观察立足点,它会对网络体系加以遍历、了解终端系统如何与外部网络相对接,”他表示。
3. “窗口”以外的配置变化
获得了系统访问权限的攻击者通常会尝试进一步改变配置以实施恶意活动,并为自己在网络中构建更为坚实的立足点。
由于大多数企业都为配置变更设定了限制时间,例如每周、每月或者每季度一次,因此由恶意人士执行的配置变更——例如放开系统控制机制或者关闭日志记录——应该引起我们的警觉。这类迹象说明攻击活动正在进行,SolarWinds公司副总裁Sanjay Castelino解释道。
“这些变更通常只应该发生在一个很小的‘窗口’当中,一旦此类配置变更出现在窗口之外,就说明异常情况已经发生,”他补充称。
在某些情况下,分析机制能够提供帮助。一般来说,安全管理产品所制定的规则相当复杂,我们很难通过简单分析判断这些规则是否属于恶意活动,Castelino指出。相反,安全团队则能够以维护窗口为界线轻松识别恶意变更。
4. 奇怪的数据库事件
由于数据库是企业基础设施当中的重要组成部分,因此企业应当通过严格监视数据库事件来检测恶意活动。举例来说,我们需要对尝试选择并复制大量数据内容的查询请求加以密切关注。
此外,仅仅监控数据库的通信活动还远远不够。虽然日志事件会给数据库性能造成一定影响,但掌握全部事件的详细记录对于成功预防数据泄露事故而言至关重要,安全管理企业Solutionary公司工程研究团队研究主管Rob Kraus指出。
“当客户要求我们出示证据,证明哪些记录曾经接受访问而哪些记录不允许接受访问时,数据库事件的详细日志的价值将得到充分体现,”他表示。“如果这些事件没有经过日志记录,会给企业造成很大麻烦。总而言之,除非明确记录下所有数据库事件,否则我们很难证明哪些记录曾被访问过。”
5. 新的设备-用户组合
在移动设备与自带设备趋势兴起之前,企业可以将任何新接入网络环境的设备默认视为可疑活动。然而时至今日,我们已经不能再将此作为衡量指标,SolarWinds公司的Castelino表示。
相反,企业应当将设备与用户相匹配,并将这种变更视为常规事件,他指出。
“大家可能仍然需要对设备进行标记,但应该将设备与用户结合起来进行整体标记,”他解释道。“因为如果我把自己的平板带入业务环境,其他同事不应该通过它登录业务体系。”