现今的商业环境中,数据资源是驱动企业向正确方向发展的源泉。例如,零售商需要根据用户行为数据获取更多销售订单,CEO需要根据企业之前的运作数据做出有效的决策。同样的,IT安全专家需要根据IT网络日志数据基础架构收集到的数据,让网络安全远离威胁、攻击和破坏。大多数企业的IT基础架构都会包括网络设备(路由器、交换机、防火墙等),系统(Windows、Linux等)和收集大量日志数据的关键业务应用程序。
日志数据如蕴含黄金的矿厂,因此需要对所有安全威胁提供强大的洞察力和安全情报---- 但这仅仅是在日志数据实时监控和分析时有效,高效的日志数据管理可以帮助IT安全管理人员减少复杂的网络攻击,识别安全事件的根本原因、监控用户活动、防止数据泄露,以及最重要的一点,满足常规安全性要求。如果没有适当的日志管理策略和流程,IT安全管理人员在确保企业免受攻击和破坏时,肯定会面临巨大的挑战。 下面,我们将介绍高效的IT安全管理人员在管理日志数据时应采用的8种习惯。这些日志管理习惯在本质上是相通的,它可以帮助所有IT安全管理人员利用日志数据的力量有效地保护其网络安全。
习惯之1 – 使用自动化的用户日志管理工具。
分析日志数据是IT安全管理人员面临的最大挑战之一。手动监控和分析日志数据是绝不肯能的,因为日志数据值非常巨大,这个过程很容易发生人为错误。因此,IT安全管理人员需要依靠自动化日志管理解决方案,分析由网络基础架构产生的巨大数量的日志数据。使用自动化日志管理工具,IT安全管理人员可以实时获得安全情报。使用自动化日志管理解决方案,当应用、系统和设备发生异常情况,IT安全管理人员可以实时收到通知。仅仅几秒,自动日志管理工具可以对用户行为、网络异常、系统宕机、违反政策、内部威胁等提供强大的参考。
习惯之2 – 集中收集日志数据。
从异构数据源收集日志数据--- Windows,Unix,Linux及其他系统;应用程序、数据库、路由器、交换机、防火墙等;– 对于IT安全管理人员来说,对日志管理的安全防护是一项艰巨的任务。使用多种日志管理工具收集和分析来自数量众多的设备、系统和应用程序不同格式的日志,这可不是一家公司高效管理日志的方法。
IT安全管理人员需要配置单个日志管理工具,帮助他们从任何来源解读任何日志格式。IT安全管理人员应该选择具有通用日志收集特性的日志管理工具,这个特性使企业能够从任何来源收集和分析任何格式的日志数据。在集中收集日志数据,使IT安全管理人员能够全面地查看网络上发生的所有活动,从而及时地促进有效的安全策略。
习惯之3 – 保持审计状态-准备就绪的安全报表。
每个企业都需要遵守他们自己的内部安全政策或外部监管机构政策,如PCI DSS、SOX、FISMA、ISO27001和HIPAA。当涉及到外部审计时,IT安全管理人员必须集中精力满足外部机构制定的需求,并确保合规审计人员以最小的工作量完成他们的工作。单凭对合规审计人员的口头保证远远不够。安全报表必须准备充分,并且用适当的日志数据和使用的日志管理工具来备份报表。
习惯之4 – 执行日志取证调查。
所有网络问题在日志数据中都可以找到答案。所有的攻击者都会留下痕迹,而你的日志数据是唯一能帮助你识别漏洞的原因,甚至告诉你是谁发起了攻击。此外,日志数据取证分析报表可以用作法庭证据。手动搜索日志来查找网络问题的根本原因,或者在事件中发现规律,就像大海捞针一般。
当IT安全管理人员真正找寻问题答案时,得到答案却十分困难。但是如果有了正确的日志取证策略和工具,他们就能得到所有问题的答案。日志取证工具搜索功能可以帮助管理员进行调查,这样可以帮助他们快速找到和修复网络问题和异常行为。日志搜索功能可以让IT安全管理人员在整个网络基础架构中进行搜索。
习惯之 5 – 主动应对安全威胁。
为了解除复杂的网络攻击,IT安全管理人员必须对网络基础架构的日志数据进行实时关联。日志数据关联功能可以让IT安全管理人员在多个日志源同时处理数百万个事件,以增强网络安全性,在攻击或破坏发生之前,主动检测网络上的异常事件。实时事件关联性主动应对威胁。为了防止安全威胁,IT安全管理人员依靠日志相关工具来加速对网络事件的监控和分析。有了数据相关性分析工具, IT安全管理人员不需要花几个小时手动跟踪可疑的网络行为。日志数据相关性自动检测并提供关于漏洞、网络用户活动、策略违规、网络异常、系统停机时间和网络安全威胁的实时告警。
习惯之 6 – 跟踪用户活动
当您最信任的员工和用户有权限访问业务关键的应用程序、设备、系统和文件时,会有意无意地引发盗取数据、中断或系统崩溃。IT安全管理人员,必须通过监视日志数据实时跟踪整个IT基础架构中的所有用户活动。日志数据包含关键网络资源上发生的所有活动完整的审计跟踪。IT安全管理人员需要利用日志数据审计跟踪来获得所有用户的实时活动,找到关于“谁、什么、哪里和如何”的答案。
习惯之 7 – 数据归档和保证日志数据安全
日志归档是所有企业满足合规性要求所必须完成的任务。日志归档依赖于企业所需遵守的政策和合规性法则。日志归档周期根据合规性审计的不同而有所不同。例如,PCI DSS 要求存档一年,HIPAA 要求存档七年,而FISMA要求存档三年。日志归档的另一个原因是日志取证调查,如习惯之4中所述。归档日志数据必须保护其不受更改,以保证其真实性。IT安全管理人员应该对日志数据进行加密,并通过哈希算法和时间戳防止日志被篡改,以便将来进行取证分析,合规性或内部审计。
习惯之8 – 持续监控和回顾日志数据
IT安全管理人员应该将监控和回复日志数据作为常规工作。所有上述的七个习惯都是为了实现第八个习惯。日志管理不是保护网络的一次性工作。为了让您远离网络威胁,它应该是一个持续的过程,在这个过程中,日志数据必须进行实时收集、监控和分析。
大多数企业都由众多的系统、设备和应用程序组成,每个系统生成的日志数据对于检测异常行为、威胁、漏洞、安全事件、政策违规、用户活动等等都是至关重要的。利用日志数据, IT安全管理人员通过主动地网络威胁防御措施,可以大大地提升企业的整体安全态势。 IT安全管理人员应该将所有8个日志管理习惯付诸实践,这样他们就可以从日志数据中获取有意义的、可操作的信息和安全情报。