有志于對(duì)信息系統(tǒng)所產(chǎn)生的大量數(shù)據(jù)加以分析的企業(yè)必須檢查用戶(hù)訪(fǎng)問(wèn)、配置變更以及其它日志事件。

無(wú)論是為了提升性能、收集商業(yè)情報(bào)還是檢測(cè)安全威脅，日志管理工作都應(yīng)被劃分為以下三個(gè)步驟：收集日志、存儲(chǔ)數(shù)據(jù)并通過(guò)分析將數(shù)據(jù)轉(zhuǎn)化為可識(shí)別模式。

然而，作為安全網(wǎng)絡(luò)協(xié)會(huì)提出的二十大關(guān)鍵性安全控制機(jī)制之一，日志數(shù)據(jù)收集與分析并沒(méi)有得到大多數(shù)企業(yè)的重視及嚴(yán)格執(zhí)行。除非法律或者法規(guī)做出明確規(guī)定，否則企業(yè)管理者根本不關(guān)心技術(shù)人員有沒(méi)有定期收集并分析日志內(nèi)容。IT管理及監(jiān)控軟件企業(yè)SolarWinds公司產(chǎn)品經(jīng)理Nicole Pauls表示，面對(duì)如此規(guī)模的數(shù)據(jù)總量，信息技術(shù)專(zhuān)家很可能搞不清該從哪里入手。

“當(dāng)人們接觸日志管理工作時(shí)，往往會(huì)被立刻淹沒(méi)在大量數(shù)據(jù)的海洋當(dāng)中，”她表示。“大家希望努力找到其中的異常、固有模式或者某些蛛絲馬跡，但這真的非常困難。”

戴爾安全事務(wù)反威脅部門(mén)主管Ben Feinstein指出，優(yōu)秀的安全日志分析方案需要包含四大原則。首先，企業(yè)需要監(jiān)控正確的日志對(duì)象，例如防火墻、虛擬專(zhuān)有網(wǎng)絡(luò)(簡(jiǎn)稱(chēng)VPN)設(shè)備、網(wǎng)絡(luò)代理以及DNS服務(wù)器。其次，安全團(tuán)隊(duì)必須收集那些在企業(yè)網(wǎng)絡(luò)中看似“尋常”的數(shù)據(jù)。第三，分析人士必須能夠從日志文件中識(shí)別出攻擊活動(dòng)指標(biāo)。最后，安全團(tuán)隊(duì)必須制定執(zhí)行流程，用于響應(yīng)通過(guò)日志分析識(shí)別到的事件。

“如果安全團(tuán)隊(duì)無(wú)法從監(jiān)控系統(tǒng)中正確找到負(fù)面或者可疑活動(dòng)，單純將全部日志推向SIEM(即安全信息與事件管理)系統(tǒng)對(duì)于安全工作其實(shí)毫無(wú)用處，”Feinstein解釋稱(chēng)。

根據(jù)安全專(zhuān)家的建議，企業(yè)應(yīng)該著重檢查五種事件類(lèi)型。

1. 異常用戶(hù)訪(fǎng)問(wèn)

Windows安全日志以及Active Directory域控制器記錄是發(fā)現(xiàn)網(wǎng)絡(luò)惡意活動(dòng)的良好起點(diǎn)。根據(jù)惠普Arcsight產(chǎn)品營(yíng)銷(xiāo)經(jīng)理Kathy Lam的說(shuō)法，權(quán)限、來(lái)自未知位置的遠(yuǎn)程用戶(hù)登錄以及利用一套系統(tǒng)訪(fǎng)問(wèn)其它內(nèi)容的行為都是惡意活動(dòng)的顯著特征。

“在觀(guān)察惡意攻擊類(lèi)型以及黑客進(jìn)入業(yè)務(wù)環(huán)境的過(guò)程中，我們發(fā)現(xiàn)惡意人士往往會(huì)在數(shù)月甚至超過(guò)一年的漫長(zhǎng)周期中始終冒充普通用戶(hù)，”她指出。“通過(guò)整理網(wǎng)絡(luò)活動(dòng)基準(zhǔn)并將當(dāng)前活動(dòng)與之相比較，安全人士能夠切實(shí)發(fā)現(xiàn)攻擊活動(dòng)。”

在安全工作當(dāng)中，最重要的保護(hù)群體要數(shù)那些特權(quán)賬戶(hù)——這部分用戶(hù)在各類(lèi)網(wǎng)絡(luò)系統(tǒng)中擁有管理員級(jí)別的權(quán)限。由于這些賬戶(hù)有能力對(duì)網(wǎng)絡(luò)進(jìn)行深層變更，因此大家需要打起十二分精神對(duì)其加以監(jiān)控。

2. 與威脅指標(biāo)相匹配的模式

企業(yè)還應(yīng)當(dāng)將日志中的數(shù)據(jù)與其它各類(lèi)來(lái)源信息加以比較，包括建立黑名單或者更具完整性的威脅情報(bào)服務(wù)，SecureWorks公司 的Feistein建議道。

威脅指標(biāo)能夠幫助企業(yè)識(shí)別可疑IP地址、主機(jī)名、域名以及來(lái)自防火墻、DNS服務(wù)器或者網(wǎng)絡(luò)代理日志的惡意軟件簽名。

“網(wǎng)絡(luò)代理日志對(duì)于網(wǎng)絡(luò)流量而言是一種強(qiáng)大的觀(guān)察立足點(diǎn)，它會(huì)對(duì)網(wǎng)絡(luò)體系加以遍歷、了解終端系統(tǒng)如何與外部網(wǎng)絡(luò)相對(duì)接，”他表示。

3. “窗口”以外的配置變化

獲得了系統(tǒng)訪(fǎng)問(wèn)權(quán)限的攻擊者通常會(huì)嘗試進(jìn)一步改變配置以實(shí)施惡意活動(dòng)，并為自己在網(wǎng)絡(luò)中構(gòu)建更為堅(jiān)實(shí)的立足點(diǎn)。

由于大多數(shù)企業(yè)都為配置變更設(shè)定了限制時(shí)間，例如每周、每月或者每季度一次，因此由惡意人士執(zhí)行的配置變更——例如放開(kāi)系統(tǒng)控制機(jī)制或者關(guān)閉日志記錄——應(yīng)該引起我們的警覺(jué)。這類(lèi)?ài)E象說(shuō)明攻擊活動(dòng)正在進(jìn)行，SolarWinds公司副總裁Sanjay Castelino解釋道。

“這些變更通常只應(yīng)該發(fā)生在一個(gè)很小的‘窗口’當(dāng)中，一旦此類(lèi)配置變更出現(xiàn)在窗口之外，就說(shuō)明異常情況已經(jīng)發(fā)生，”他補(bǔ)充稱(chēng)。

在某些情況下，分析機(jī)制能夠提供幫助。一般來(lái)說(shuō)，安全管理產(chǎn)品所制定的規(guī)則相當(dāng)復(fù)雜，我們很難通過(guò)簡(jiǎn)單分析判斷這些規(guī)則是否屬于惡意活動(dòng)，Castelino指出。相反，安全團(tuán)隊(duì)則能夠以維護(hù)窗口為界線(xiàn)輕松識(shí)別惡意變更。

4. 奇怪的數(shù)據(jù)庫(kù)事件

由于數(shù)據(jù)庫(kù)是企業(yè)基礎(chǔ)設(shè)施當(dāng)中的重要組成部分，因此企業(yè)應(yīng)當(dāng)通過(guò)嚴(yán)格監(jiān)視數(shù)據(jù)庫(kù)事件來(lái)檢測(cè)惡意活動(dòng)。舉例來(lái)說(shuō)，我們需要對(duì)嘗試選擇并復(fù)制大量數(shù)據(jù)內(nèi)容的查詢(xún)請(qǐng)求加以密切關(guān)注。

此外，僅僅監(jiān)控?cái)?shù)據(jù)庫(kù)的通信活動(dòng)還遠(yuǎn)遠(yuǎn)不夠。雖然日志事件會(huì)給數(shù)據(jù)庫(kù)性能造成一定影響，但掌握全部事件的詳細(xì)記錄對(duì)于成功預(yù)防數(shù)據(jù)泄露事故而言至關(guān)重要，安全管理企業(yè)Solutionary公司工程研究團(tuán)隊(duì)研究主管Rob Kraus指出。

“當(dāng)客戶(hù)要求我們出示證據(jù)，證明哪些記錄曾經(jīng)接受訪(fǎng)問(wèn)而哪些記錄不允許接受訪(fǎng)問(wèn)時(shí)，數(shù)據(jù)庫(kù)事件的詳細(xì)日志的價(jià)值將得到充分體現(xiàn)，”他表示。“如果這些事件沒(méi)有經(jīng)過(guò)日志記錄，會(huì)給企業(yè)造成很大麻煩。總而言之，除非明確記錄下所有數(shù)據(jù)庫(kù)事件，否則我們很難證明哪些記錄曾被訪(fǎng)問(wèn)過(guò)。”

5. 新的設(shè)備-用戶(hù)組合

在移動(dòng)設(shè)備與自帶設(shè)備趨勢(shì)興起之前，企業(yè)可以將任何新接入網(wǎng)絡(luò)環(huán)境的設(shè)備默認(rèn)視為可疑活動(dòng)。然而時(shí)至今日，我們已經(jīng)不能再將此作為衡量指標(biāo)，SolarWinds公司的Castelino表示。

相反，企業(yè)應(yīng)當(dāng)將設(shè)備與用戶(hù)相匹配，并將這種變更視為常規(guī)事件，他指出。

“大家可能仍然需要對(duì)設(shè)備進(jìn)行標(biāo)記，但應(yīng)該將設(shè)備與用戶(hù)結(jié)合起來(lái)進(jìn)行整體標(biāo)記，”他解釋道。“因?yàn)槿绻野炎约旱钠桨鍘霕I(yè)務(wù)環(huán)境，其他同事不應(yīng)該通過(guò)它登錄業(yè)務(wù)體系。”

原文鏈接：http://www.darkreading.com/monitoring/5-signs-of-trouble-in-your-network/240160980