有志于對信息系統(tǒng)所產(chǎn)生的大量數(shù)據(jù)加以分析的企業(yè)必須檢查用戶訪問、配置變更以及其它日志事件。

無論是為了提升性能、收集商業(yè)情報(bào)還是檢測安全威脅，日志管理工作都應(yīng)被劃分為以下三個步驟：收集日志、存儲數(shù)據(jù)并通過分析將數(shù)據(jù)轉(zhuǎn)化為可識別模式。

然而，作為安全網(wǎng)絡(luò)協(xié)會提出的二十大關(guān)鍵性安全控制機(jī)制之一，日志數(shù)據(jù)收集與分析并沒有得到大多數(shù)企業(yè)的重視及嚴(yán)格執(zhí)行。除非法律或者法規(guī)做出明確規(guī)定，否則企業(yè)管理者根本不關(guān)心技術(shù)人員有沒有定期收集并分析日志內(nèi)容。IT管理及監(jiān)控軟件企業(yè)SolarWinds公司產(chǎn)品經(jīng)理Nicole Pauls表示，面對如此規(guī)模的數(shù)據(jù)總量，信息技術(shù)專家很可能搞不清該從哪里入手。

“當(dāng)人們接觸日志管理工作時，往往會被立刻淹沒在大量數(shù)據(jù)的海洋當(dāng)中，”她表示。“大家希望努力找到其中的異常、固有模式或者某些蛛絲馬跡，但這真的非常困難。”

戴爾安全事務(wù)反威脅部門主管Ben Feinstein指出，優(yōu)秀的安全日志分析方案需要包含四大原則。首先，企業(yè)需要監(jiān)控正確的日志對象，例如防火墻、虛擬專有網(wǎng)絡(luò)(簡稱VPN)設(shè)備、網(wǎng)絡(luò)代理以及DNS服務(wù)器。其次，安全團(tuán)隊(duì)必須收集那些在企業(yè)網(wǎng)絡(luò)中看似“尋常”的數(shù)據(jù)。第三，分析人士必須能夠從日志文件中識別出攻擊活動指標(biāo)。最后，安全團(tuán)隊(duì)必須制定執(zhí)行流程，用于響應(yīng)通過日志分析識別到的事件。

“如果安全團(tuán)隊(duì)無法從監(jiān)控系統(tǒng)中正確找到負(fù)面或者可疑活動，單純將全部日志推向SIEM(即安全信息與事件管理)系統(tǒng)對于安全工作其實(shí)毫無用處，”Feinstein解釋稱。

根據(jù)安全專家的建議，企業(yè)應(yīng)該著重檢查五種事件類型。

1. 異常用戶訪問

Windows安全日志以及Active Directory域控制器記錄是發(fā)現(xiàn)網(wǎng)絡(luò)惡意活動的良好起點(diǎn)。根據(jù)惠普Arcsight產(chǎn)品營銷經(jīng)理Kathy Lam的說法，權(quán)限、來自未知位置的遠(yuǎn)程用戶登錄以及利用一套系統(tǒng)訪問其它內(nèi)容的行為都是惡意活動的顯著特征。

“在觀察惡意攻擊類型以及黑客進(jìn)入業(yè)務(wù)環(huán)境的過程中，我們發(fā)現(xiàn)惡意人士往往會在數(shù)月甚至超過一年的漫長周期中始終冒充普通用戶，”她指出。“通過整理網(wǎng)絡(luò)活動基準(zhǔn)并將當(dāng)前活動與之相比較，安全人士能夠切實(shí)發(fā)現(xiàn)攻擊活動。”

在安全工作當(dāng)中，最重要的保護(hù)群體要數(shù)那些特權(quán)賬戶——這部分用戶在各類網(wǎng)絡(luò)系統(tǒng)中擁有管理員級別的權(quán)限。由于這些賬戶有能力對網(wǎng)絡(luò)進(jìn)行深層變更，因此大家需要打起十二分精神對其加以監(jiān)控。

2. 與威脅指標(biāo)相匹配的模式

企業(yè)還應(yīng)當(dāng)將日志中的數(shù)據(jù)與其它各類來源信息加以比較，包括建立黑名單或者更具完整性的威脅情報(bào)服務(wù)，SecureWorks公司 的Feistein建議道。

威脅指標(biāo)能夠幫助企業(yè)識別可疑IP地址、主機(jī)名、域名以及來自防火墻、DNS服務(wù)器或者網(wǎng)絡(luò)代理日志的惡意軟件簽名。

“網(wǎng)絡(luò)代理日志對于網(wǎng)絡(luò)流量而言是一種強(qiáng)大的觀察立足點(diǎn)，它會對網(wǎng)絡(luò)體系加以遍歷、了解終端系統(tǒng)如何與外部網(wǎng)絡(luò)相對接，”他表示。

3. “窗口”以外的配置變化

獲得了系統(tǒng)訪問權(quán)限的攻擊者通常會嘗試進(jìn)一步改變配置以實(shí)施惡意活動，并為自己在網(wǎng)絡(luò)中構(gòu)建更為堅(jiān)實(shí)的立足點(diǎn)。

由于大多數(shù)企業(yè)都為配置變更設(shè)定了限制時間，例如每周、每月或者每季度一次，因此由惡意人士執(zhí)行的配置變更——例如放開系統(tǒng)控制機(jī)制或者關(guān)閉日志記錄——應(yīng)該引起我們的警覺。這類跡象說明攻擊活動正在進(jìn)行，SolarWinds公司副總裁Sanjay Castelino解釋道。

“這些變更通常只應(yīng)該發(fā)生在一個很小的‘窗口’當(dāng)中，一旦此類配置變更出現(xiàn)在窗口之外，就說明異常情況已經(jīng)發(fā)生，”他補(bǔ)充稱。

在某些情況下，分析機(jī)制能夠提供幫助。一般來說，安全管理產(chǎn)品所制定的規(guī)則相當(dāng)復(fù)雜，我們很難通過簡單分析判斷這些規(guī)則是否屬于惡意活動，Castelino指出。相反，安全團(tuán)隊(duì)則能夠以維護(hù)窗口為界線輕松識別惡意變更。

4. 奇怪的數(shù)據(jù)庫事件

由于數(shù)據(jù)庫是企業(yè)基礎(chǔ)設(shè)施當(dāng)中的重要組成部分，因此企業(yè)應(yīng)當(dāng)通過嚴(yán)格監(jiān)視數(shù)據(jù)庫事件來檢測惡意活動。舉例來說，我們需要對嘗試選擇并復(fù)制大量數(shù)據(jù)內(nèi)容的查詢請求加以密切關(guān)注。

此外，僅僅監(jiān)控?cái)?shù)據(jù)庫的通信活動還遠(yuǎn)遠(yuǎn)不夠。雖然日志事件會給數(shù)據(jù)庫性能造成一定影響，但掌握全部事件的詳細(xì)記錄對于成功預(yù)防數(shù)據(jù)泄露事故而言至關(guān)重要，安全管理企業(yè)Solutionary公司工程研究團(tuán)隊(duì)研究主管Rob Kraus指出。

“當(dāng)客戶要求我們出示證據(jù)，證明哪些記錄曾經(jīng)接受訪問而哪些記錄不允許接受訪問時，數(shù)據(jù)庫事件的詳細(xì)日志的價(jià)值將得到充分體現(xiàn)，”他表示。“如果這些事件沒有經(jīng)過日志記錄，會給企業(yè)造成很大麻煩?？偠灾敲鞔_記錄下所有數(shù)據(jù)庫事件，否則我們很難證明哪些記錄曾被訪問過。”

5. 新的設(shè)備-用戶組合

在移動設(shè)備與自帶設(shè)備趨勢興起之前，企業(yè)可以將任何新接入網(wǎng)絡(luò)環(huán)境的設(shè)備默認(rèn)視為可疑活動。然而時至今日，我們已經(jīng)不能再將此作為衡量指標(biāo)，SolarWinds公司的Castelino表示。

相反，企業(yè)應(yīng)當(dāng)將設(shè)備與用戶相匹配，并將這種變更視為常規(guī)事件，他指出。

“大家可能仍然需要對設(shè)備進(jìn)行標(biāo)記，但應(yīng)該將設(shè)備與用戶結(jié)合起來進(jìn)行整體標(biāo)記，”他解釋道。“因?yàn)槿绻野炎约旱钠桨鍘霕I(yè)務(wù)環(huán)境，其他同事不應(yīng)該通過它登錄業(yè)務(wù)體系。”

原文鏈接：http://www.darkreading.com/monitoring/5-signs-of-trouble-in-your-network/240160980