在企業(yè)網(wǎng)絡(luò)安全中，用戶活動(dòng)監(jiān)控與資產(chǎn)監(jiān)控同樣重要。本文將介紹來自企業(yè)管理聯(lián)盟的具體研究結(jié)果。

[[131573]]

與大多數(shù)保險(xiǎn)公司類似，AIG以色列保險(xiǎn)公司也面對(duì)一些嚴(yán)格的規(guī)范要求和安全標(biāo)準(zhǔn)的限制。為了符合這些標(biāo)準(zhǔn)的要求，它使用審計(jì)軟件去跟蹤服務(wù)器配置和Active Directory變化。但是，曾經(jīng)有一個(gè)用戶的錯(cuò)誤引起了系統(tǒng)問題，這時(shí)公司認(rèn)識(shí)到它不能只關(guān)注于保證資產(chǎn)安全。它還必須關(guān)注于用戶活動(dòng)監(jiān)控。

有一個(gè)AIG合作伙伴有一些不小心在一個(gè)配置文件中增加了一個(gè)空格，這個(gè)簡(jiǎn)單的錯(cuò)誤一直未被發(fā)現(xiàn)，直到服務(wù)出現(xiàn)故障，這促使AIG開始摸索如何尋找問題的根源。AIG以色列公司中負(fù)責(zé)基礎(chǔ)架構(gòu)的架構(gòu)師Snir Hoffman說：“因?yàn)檫@些問題出現(xiàn)，所以我們發(fā)現(xiàn)部署用戶活動(dòng)監(jiān)控是很有意義的。畢竟，我們都是容易犯錯(cuò)的人類。”

像AIG這樣的案例并不少見。雖然企業(yè)通常都有資產(chǎn)安全措施——如服務(wù)器和企業(yè)數(shù)據(jù)，但是用戶活動(dòng)監(jiān)控在以前優(yōu)先級(jí)不高。但是，一些高危安全漏洞正促使許多企業(yè)考慮自己網(wǎng)絡(luò)中有哪些容易受攻擊的漏洞。這可能是由于用戶疏忽或內(nèi)部惡意活動(dòng)造成的，根據(jù)美國(guó)科羅拉多州博爾德研究公司企業(yè)管理聯(lián)盟(Enterprise Management Associates Inc.)的最新報(bào)告，有69%的安全事故都是由受信公司內(nèi)部人員引起的。在這些事故中，有84%是由不具備管理權(quán)限的公司用戶造成的。而且，撰寫這份報(bào)告的EMA研究主管David Monahan指出，由于用戶數(shù)據(jù)通常都是攻擊的主要目標(biāo)，所以這些數(shù)字仍在不斷攀升。

Monahan指出，雖然內(nèi)部人員訪問可能是安全風(fēng)險(xiǎn)的主要來源，但是許多公司仍然需要信任這些用戶，而且在整個(gè)安全策略中加入這些用戶活動(dòng)監(jiān)控工具會(huì)讓他們感覺更輕松一些。

用戶活動(dòng)監(jiān)控必須與資產(chǎn)監(jiān)控處于同等位置

大多數(shù)企業(yè)都關(guān)注于涉及特定資產(chǎn)的風(fēng)險(xiǎn)，例如對(duì)于員工工作至關(guān)重要及保存敏感數(shù)據(jù)的服務(wù)器和應(yīng)用程序。但是，美國(guó)波士頓安全供應(yīng)商ObserveIT的銷售副總裁Dimitri Vlachos指出，許多漏洞都是由于合法用戶身份的濫用造成的，這是資產(chǎn)保護(hù)技術(shù)無法監(jiān)控的。

EMA的Monahan說：“規(guī)章的數(shù)量龐大，平常用戶并沒有得到監(jiān)控或觀察——這是一個(gè)很大的偏差，這要求我們?cè)趹B(tài)度上有較大轉(zhuǎn)變。”

負(fù)責(zé)完成EMA調(diào)查的ObserveIT推出了用戶活動(dòng)監(jiān)控軟件。這個(gè)技術(shù)可以幫助IT人員分辨出不同用戶組的風(fēng)險(xiǎn)級(jí)別——如內(nèi)部用戶、承包商和管理員。Vlachos指出，它提供了一些管理和降低用戶風(fēng)險(xiǎn)的方法。他說：“來自于用戶的風(fēng)險(xiǎn)威脅已經(jīng)成為一個(gè)真實(shí)問題，傳統(tǒng)的安全方法已經(jīng)無法處理這些風(fēng)險(xiǎn)了。”他指出，傳統(tǒng)安全工具可以幫助公司理解他們的系統(tǒng)——如日志管理和安全信息與事件管理(SIEM)產(chǎn)品，但是他們的IT團(tuán)隊(duì)無法查看用戶正在進(jìn)行的活動(dòng)——無論活動(dòng)是否正常。ObserveIT的工具會(huì)記錄用戶的活動(dòng)，生成可搜索的日志，包括用戶、應(yīng)用程序訪問和應(yīng)用內(nèi)完成的活動(dòng)。

AIG以色列公司在其中央數(shù)據(jù)中心的網(wǎng)絡(luò)安全策略中使用了ObserveIT的用戶活動(dòng)監(jiān)控軟件。這家公司創(chuàng)建了一個(gè)虛擬桌面基礎(chǔ)架構(gòu)環(huán)境，其中每一個(gè)供應(yīng)商合作伙伴都有自己的Windows 7工作站，而且它們都受到集中監(jiān)控。此外，ObserveIT還能夠監(jiān)控AIG自有系統(tǒng)的管理員。

最新版ObserveIT允許企業(yè)實(shí)時(shí)監(jiān)控用戶，這是一個(gè)Hoffman及其團(tuán)隊(duì)計(jì)劃實(shí)施并整合到現(xiàn)有安全基礎(chǔ)架構(gòu)的功能。Hoffman說：“能夠設(shè)置規(guī)則是很有用的——例如如果有人打開一個(gè)特定的文件，或者訪問一個(gè)特定的位置，馬上就會(huì)一個(gè)警報(bào)發(fā)出，因?yàn)檫@并不計(jì)劃內(nèi)操作，但是我們無法查看到這些日志。”

用戶活動(dòng)監(jiān)控并非一個(gè)精密科學(xué)

無論使用了什么樣的安全技術(shù)或流程，我們?nèi)匀缓茈y確定一個(gè)用戶的身份信息是否已經(jīng)泄露。即使是最好的安全系統(tǒng)都很難分辨一個(gè)特定的活動(dòng)是否有危害嫌疑，或者用戶是否有訪問特定應(yīng)用程序或數(shù)據(jù)的合法權(quán)限。

EMA的Monahan指出，但是用戶活動(dòng)監(jiān)控軟件可以幫助我們確定是否有一個(gè)遠(yuǎn)程會(huì)話為特定的用戶打開，或者在相同時(shí)刻中該用戶是否有一些無關(guān)的活動(dòng)路徑。

此外，如果一個(gè)用戶的身份曾經(jīng)被用于執(zhí)行欺騙動(dòng)作，那么Hoffman及其團(tuán)隊(duì)還能夠分析ObserveIT收集的歷史數(shù)據(jù)。他指出，他們還能夠確定用戶曾經(jīng)執(zhí)行了哪些活動(dòng)或工作，使用了哪些工作站，以及同一個(gè)用戶是否同一時(shí)刻登錄了另一臺(tái)工作站，等等。

他說：“我們可以查看每一個(gè)具體的時(shí)間線。我們可以按工作站進(jìn)行搜索，甚至可以直接詢問有問題的用戶，為什么他們必須使用另一個(gè)用戶的身份。”此外，這個(gè)系統(tǒng)還會(huì)向用戶發(fā)出警報(bào)，告訴他們當(dāng)前執(zhí)行的活動(dòng)會(huì)被記錄。Hoffman說：“這種警告會(huì)讓用戶重新考慮，更加認(rèn)真地對(duì)待自已正在做的事情。”