日志是溯源取證的核心。但是，日志只有被完整地收集、長時(shí)間地儲(chǔ)存，并包含所有調(diào)查需要的信息，同時(shí)不被惡意人員提前獲取的情況下，才有價(jià)值——這才是重中之重。

谷歌云的首席安全解決策略專家Anton Chuvakin博士表示：“企業(yè)如何能夠減少攻擊者隱藏他們行蹤，甚至破壞日志文件的行為?答案很明顯：用一個(gè)日志管理工具中心化管理日志。不管是2021年，2011年，2001年，甚至可能1991年，都不會(huì)變。”

但是，所有安全專家都知道，1991年日志管理的情況遠(yuǎn)遠(yuǎn)沒有現(xiàn)在的復(fù)雜、龐大。日志管理需要不出差錯(cuò)地記錄數(shù)據(jù)事件——而現(xiàn)代業(yè)務(wù)有著海量的數(shù)據(jù)。

這樣一來，管理不計(jì)其數(shù)的日志就成了日常難題;需要滿足越來越多的法律法規(guī)進(jìn)一步提升了復(fù)雜度——比如HIPPA要求日志保留至少六年，而SOX要求七年，Basel II Accord則要求三到七年。

因此，日志管理需要做得合理、正確，并且精確，不能做得過多，也不能做得太少——要恰到好處，以一種能夠完全幫助溯源取證的方式進(jìn)行，甚至當(dāng)罪犯刻意隱藏自己行為的時(shí)候都能實(shí)現(xiàn)追蹤。

一些專家在Dark Reading上分享了九條和日志管理相關(guān)的實(shí)踐建議。

將日志從原本的設(shè)備和系統(tǒng)中剝離出來

犯罪分子總是針對特定的系統(tǒng)和設(shè)備，并將他們的相關(guān)操作日志移除，以掩蓋自己的行蹤。如果通過工具將日志從設(shè)備和系統(tǒng)中導(dǎo)出，并存儲(chǔ)在一個(gè)分開、安全的位置，就能夠確保好人依然能夠看到壞人的所作所為。

全球法律公司Hogan Lovells的高級審計(jì)員Nathan Salminen認(rèn)為：“考慮一下，把日志從創(chuàng)建他們的系統(tǒng)和設(shè)備中移除?？梢杂肧IEM工具，或者一個(gè)簡單的日志集合工具，將整個(gè)企業(yè)中的日志采集并存放在一個(gè)能夠被好好保護(hù)好的地方。這樣，即使一個(gè)威脅因子成功毀壞，或者編輯了目標(biāo)系統(tǒng)上日志，相關(guān)信息依然能夠被保存。”

Salminen同樣還是OSCP，他還提醒到，有許多組織已經(jīng)有這樣的工具了，但是有一部分企業(yè)依然沒有使用這些工具實(shí)行相關(guān)操作。

除此以外，Salminen表示，他見到的最多的問題是“組織從來不記錄事件，或者不將日志保存足夠長到判斷攻擊者是否有成功攻擊系統(tǒng)的時(shí)間。”

在不同位置記錄日志

全球資訊公司Alix Partners的SVP，Kevin Madura則認(rèn)為，企業(yè)應(yīng)該在成本和算力的限制下，盡可能有“更多冗余的日志點(diǎn)”，包括應(yīng)用、應(yīng)用服務(wù)器、網(wǎng)站服務(wù)器、負(fù)載均衡器、以及如防火墻、交換機(jī)、路由器和終端之類的網(wǎng)絡(luò)設(shè)備。“

在網(wǎng)絡(luò)的不同位置進(jìn)行日志記錄非常關(guān)鍵。這樣能幫助調(diào)查人員理解攻擊者如何潛入，以及他們在網(wǎng)絡(luò)中的行蹤，還有他們在初始入侵之后的意圖。”他提到，“這也能幫助發(fā)現(xiàn)哪些系統(tǒng)和數(shù)據(jù)可能在攻擊中淪陷，然后決定是否有其他系統(tǒng)應(yīng)該進(jìn)行犯罪調(diào)查。”

通過云端防護(hù)

將日志遷移到云端還能讓犯罪份子的工作更加復(fù)雜。

Cato Networks的安全主任Elad Menahem提出：“保護(hù)日志系統(tǒng)的第一緩解方式，考慮用基于云的日志解決方案。將日志服務(wù)器到云端會(huì)讓攻擊者攻擊兩個(gè)網(wǎng)絡(luò)，而不是一個(gè)。同時(shí)，云服務(wù)商會(huì)比普通的企業(yè)在安全方面投入更多成本。”

但無論是自己保護(hù)日志系統(tǒng)，還是在云端，日志備份總是一個(gè)好主意——因?yàn)楣粽卟豢偸瞧茐娜罩荆袝r(shí)候他們會(huì)修改日志，或者通過活動(dòng)過載等各種方式污染日志內(nèi)容。

在犯罪數(shù)據(jù)中加入儲(chǔ)存媒介的圖片

一圖往往勝千語——尤其是當(dāng)圖片能把握到一些日志之外，卻和事件相關(guān)的信息的時(shí)候。“

許多犯罪調(diào)查是通過瀏覽存儲(chǔ)媒介的圖片，而非瀏覽日志解決的。不時(shí)對虛擬機(jī)截屏并且保存相關(guān)圖片，能對攻擊者的行為帶來非常有價(jià)值的情報(bào)。”全球法律公司Hogan Lovells的合伙人Peter Marta如是說到，他同時(shí)也是前摩根大通銀行的全球網(wǎng)絡(luò)安全法律負(fù)責(zé)人，“歷史截屏往往比事件后系統(tǒng)的截圖更有價(jià)值，因?yàn)槭录蟮慕貓D往往會(huì)被加密或者掩蓋。”

另一方面，備份也并非是在攻擊中的萬靈藥，因?yàn)閭浞?ldquo;往往只存儲(chǔ)數(shù)據(jù)分區(qū)，極少會(huì)儲(chǔ)存未分配分區(qū)的數(shù)據(jù)——而這些數(shù)據(jù)往往對識別已刪除文件至關(guān)重要。”

不要太快下線受攻擊系統(tǒng)

幾乎每個(gè)人都想著在發(fā)現(xiàn)攻擊的時(shí)候最快下線他們的系統(tǒng)。

而事實(shí)上，Marta認(rèn)為：“雖然這種行為可以理解，但是這么做會(huì)錯(cuò)過全面理解系統(tǒng)中在發(fā)生什么事件的機(jī)會(huì)，尤其是當(dāng)下的惡意軟件在不斷演進(jìn)到各種變體，甚至不會(huì)觸碰到存儲(chǔ)媒介。在下線系統(tǒng)前對內(nèi)存進(jìn)行一次快照非常有意義。

”事實(shí)上，內(nèi)存總是攻擊事件中的核心，行為的記錄都會(huì)內(nèi)存中產(chǎn)生。

德勤在網(wǎng)絡(luò)和戰(zhàn)略風(fēng)險(xiǎn)的風(fēng)險(xiǎn)與金融咨詢專家Steven Baker建議：“確保安全團(tuán)隊(duì)的每個(gè)人都有內(nèi)存分析的能力。大部分惡意軟件都不會(huì)直接對磁盤進(jìn)行寫入，而是直接在內(nèi)存中運(yùn)行，因此如果沒有適當(dāng)?shù)募寄芎蛯?shí)踐會(huì)很難進(jìn)行分析。IT團(tuán)隊(duì)中應(yīng)該有一個(gè)穩(wěn)定的流程，能夠在調(diào)查前，從可疑系統(tǒng)中抓取內(nèi)存信息。如果相關(guān)人員調(diào)查后沒有發(fā)現(xiàn)問題，那就刪除那部分內(nèi)存繼續(xù)下一個(gè)調(diào)查;如果發(fā)現(xiàn)了蛛絲馬跡，就能根據(jù)內(nèi)存進(jìn)一步分析。”

知道哪些日志文件是有幫助的

盡管根據(jù)事件的類型，有幫助的文件類別各不相同，但是有一些共性點(diǎn)總是有價(jià)值的。Salminen認(rèn)為以下幾個(gè)都是需要關(guān)注的點(diǎn)：

• 接入互聯(lián)網(wǎng)系統(tǒng)的IP地址的日志——這些是許多類型事件的調(diào)查核心。
• 失敗的認(rèn)證嘗試可以幫助調(diào)查人員識別一般的口令猜測攻擊。
• 文件創(chuàng)建記錄對調(diào)查人員而言總是有價(jià)值的日志數(shù)據(jù)。具體來說，識別一個(gè)解壓縮文件的創(chuàng)建位置，以及哪些數(shù)據(jù)被放入解壓縮文件了，往往是判別哪些數(shù)據(jù)準(zhǔn)備被泄露的關(guān)鍵步驟。
• RDP日志以及遠(yuǎn)程控制連接日志通常能幫助調(diào)查人員描繪出威脅因素在網(wǎng)絡(luò)中的移動(dòng)路線。
• 數(shù)據(jù)庫請求日志有時(shí)候能幫助調(diào)查人員判斷哪些數(shù)據(jù)被接入了。

測試日志的有用性

不是所有的日志都是被“平等”地創(chuàng)建的，因此最好檢查一下這些日志到底有什么用——特別是在企業(yè)真正需要使用這些日志之前。“

戰(zhàn)爭游戲可以幫助企業(yè)知道企業(yè)的日志文件到底有什么用，以及日志缺口在哪。”Baker表示，“一次常見或者目標(biāo)驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊模擬可以幫助企業(yè)決定哪些數(shù)據(jù)對了解事件全局以及進(jìn)行根因分析是至關(guān)重要的。”

知道其他組織認(rèn)為有用的日志消息也是一個(gè)不錯(cuò)的方式。谷歌云的Chuvakin提到，他最喜歡的日志類型是服務(wù)器/端點(diǎn)、遠(yuǎn)程接入、多種安全工具(IDS/IPS、殺毒軟件)、以及云端(通過CAS認(rèn)證協(xié)議的SaaS、IaaS)日志。

敬業(yè)消除

要管理的日志數(shù)量的增加速度絲毫沒有下降的趨勢，但是也不應(yīng)該為了存儲(chǔ)更多日志而過快刪除之前的日志。

Infosec Institute的信息安全作者Keatron Evans認(rèn)為：“即使有一個(gè)強(qiáng)大的SIEM工具，日志管理依然會(huì)很艱難。另外，這些日志也并非總是被保存好。日志的巨大數(shù)量意味著它們通常需要被消除，為新的日志騰出空間。存儲(chǔ)能力對企業(yè)日志管理而言是一個(gè)主要挑戰(zhàn)。”

盡管說日志只是安全架構(gòu)和計(jì)劃中的一部分，但是對于犯罪調(diào)查來說卻非常重要。“

關(guān)鍵是要在網(wǎng)絡(luò)攻擊發(fā)生前形成有效的響應(yīng)策略，任何的日志如果一開始沒有被配置好，都是無法檢測到事件的。”Baker提到。

不要做過度

提前準(zhǔn)備往往能省下不少時(shí)間，這意味著提前管理好日志。但是注意：過度準(zhǔn)備也會(huì)產(chǎn)生大量不必要的成本。

“記錄所有東西很簡單，但是如果不基于自己的需求仔細(xì)處理，最后反而會(huì)增加自己的風(fēng)險(xiǎn)，而不是減少風(fēng)險(xiǎn)。”AlixPartners的Madura表示。

未加密的PII、用戶數(shù)據(jù)、口令等其他敏感信息會(huì)因?yàn)椴杉杏涗浀男畔⒍灰馔馐占?，產(chǎn)生額外風(fēng)險(xiǎn)。

但即使如此，也不代表日志做得少就更好。佛洛里達(dá)國際大學(xué)的講師Matt Ruddell強(qiáng)調(diào)：“雖然說海量的數(shù)據(jù)看上去很可怕，優(yōu)秀的犯罪調(diào)查人員應(yīng)該有足夠強(qiáng)大的軟硬件處理這些日志。不過，這也確實(shí)會(huì)成為一個(gè)問題，因?yàn)閿?shù)字犯罪的調(diào)查人員總是為了能讓自己的設(shè)備和成本跟上時(shí)代而在努力爭取足夠的預(yù)算。”