安全事件發(fā)生時(shí)，響應(yīng)團(tuán)隊(duì)經(jīng)常面臨同樣的窘境：缺乏可用的日志。在缺乏日志和配置糟糕之間，企業(yè)往往比想象的還要盲目，直到網(wǎng)絡(luò)攻擊事件將殘酷的真相擺在眼前。

日志就是存儲計(jì)算機(jī)系統(tǒng)或應(yīng)用程序中各事件操作的文件。盡管相當(dāng)簡單，事件日志卻是安全分析師確定網(wǎng)絡(luò)安全事件原因、性質(zhì)和影響的主要信息來源。然而，此類文件卻常常缺失，甚至根本不存在。

而且，日志缺乏并非什么秘密。大多數(shù)事件響應(yīng)人員都認(rèn)為，如果從一開始就有合適的日志可用，他們的響應(yīng)速度會快上許多;但通常，他們拿不到合適的日志。

最令人驚訝的是，系統(tǒng)管理員只有在事件發(fā)生后才會意識到自己極其缺乏日志。這導(dǎo)致根源分析往往需要事后取證，而不是立即采取行動(dòng)。此外，取證分析師常常需要花費(fèi)相當(dāng)長的時(shí)間來確定攻擊的范圍。更糟的是，有時(shí)候甚至開展不了全面分析，因?yàn)楦緵]有收集合適的信息，更別說存儲足夠長的時(shí)間了(被覆蓋)。

情況怎么就變成這樣了呢?我們不妨分析一下為什么這么多企業(yè)的日志管理策略不足，以及該如何在網(wǎng)絡(luò)事件發(fā)生前解決這一問題。

默認(rèn)設(shè)置導(dǎo)致安全失敗

現(xiàn)實(shí)情況就是，只有極少數(shù)企業(yè)實(shí)現(xiàn)了真正的日志策略。企業(yè)的日志計(jì)劃往往按默認(rèn)配置執(zhí)行：只生成最基本的日志，且設(shè)為覆蓋模式以節(jié)省存儲空間。他們的想法是這樣可以只保存最有用的信息。然而，只取“最小公因數(shù)”的做法并不能總是滿足企業(yè)的網(wǎng)絡(luò)安全需求。

由于各產(chǎn)品本地生成日志(管理員往往不知道在哪兒)，缺乏集中日志的狀況使得發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的過程更加復(fù)雜了。通常，發(fā)生安全事件時(shí)，IT部門并沒有準(zhǔn)備好響應(yīng)事件響應(yīng)團(tuán)隊(duì)的請求。因?yàn)闊o法確定受影響IP上是哪臺機(jī)器或哪位用戶，企業(yè)難以斷定事件是怎么發(fā)生的，也無法確定對網(wǎng)絡(luò)的影響有多大。

所以，即使管理員重定向到中央日志服務(wù)也無濟(jì)于事。他們需要收集所有日志，并將日志設(shè)置為審計(jì)和詳細(xì)級別。這是兩個(gè)經(jīng)常被忽略的設(shè)置選項(xiàng)。企業(yè)并不記錄真實(shí)數(shù)據(jù)，而是存儲通用的“啟動(dòng)”和“停止”操作，表示某個(gè)軟件被打開和關(guān)閉，毫無任何細(xì)節(jié)，不收集諸如“用戶‘黑客’啟動(dòng)了Y程序”和“用戶‘黑客’將文件復(fù)制到X共享位置”之類的安全事件。

若說缺乏日志和信息受限本身還不夠無能為力，那權(quán)限被盜就更心塞了。如果沒有恰當(dāng)?shù)娜罩静呗裕鄳?yīng)賬戶就可以刪除或者篡改可用日志。一旦這種賬戶被盜，攻擊者就能夠清除日志中最有用的信息，給事件調(diào)查制造麻煩，甚至讓調(diào)查根本無法進(jìn)行。

創(chuàng)建有效日志策略

確定有效的日志策略是強(qiáng)大事件響應(yīng)計(jì)劃的關(guān)鍵。日志策略因公司及其信息系統(tǒng)的敏感度而異。此外，日志本身也需受到保護(hù)。問題在于，企業(yè)需要來自所有系統(tǒng)、云、本地、混合或應(yīng)用的收集器，且須可在單一位置聚合和搜索。這些同樣需要受到保護(hù)，想想過去10年來最臭名昭著的數(shù)據(jù)泄露事件都涉及不安全日志就知道該怎么做了。

企業(yè)拿到日志后需加以審核，并組織一些桌面推演，嘗試?yán)萌罩緛順?biāo)識活動(dòng)。這么做可以幫助企業(yè)團(tuán)隊(duì)理解為什么通過單一接口發(fā)起對所有日志的查詢可以倍增有效性，并將干預(yù)時(shí)間縮短好幾天。

實(shí)現(xiàn)特權(quán)賬戶特殊監(jiān)測也很重要，這樣可以確保記錄下特權(quán)事件。特別監(jiān)測特權(quán)賬戶的目標(biāo)是擁有足夠的事件來記錄整個(gè)會話，方便確定管理員或特權(quán)賬戶執(zhí)行的操作。通常，如果沒有審慎考慮，會缺失成百上千的關(guān)鍵事件。通過設(shè)置專用解決方案長期(一年以上而非僅90天)保存來自各個(gè)系統(tǒng)的日志，IT團(tuán)隊(duì)可以確保擁有恰當(dāng)分析事件的足夠資源。

強(qiáng)大的日志策略并非全新概念，但如果企業(yè)忽視了日志，那就只能坐等網(wǎng)絡(luò)攻擊上門時(shí)不知所措了。實(shí)現(xiàn)堅(jiān)實(shí)的日志策略不僅能讓企業(yè)快速有效響應(yīng)危機(jī)，還可以加速解析事件根源。