公司新闻

如何减少IT管理员工作上的挑战

毫无疑问,IT管理员的工作是任何公司中最重要的工作内容之一。‘风平浪静’的时候,每个人都很容易忽略他们的存在。但是,如果某天突然发生了一些棘手的IT问题,他们必将成为‘众矢之的’。

IT管理员中的大多数人都是自学成才的,并且也会在工作中不断地学习并成长。虽说多年的IT管理经验使他们可以应对公司中大多数的网络安全挑战。但压力其实是无处不在,因为他们负责公司内部各种网络设备的配置和管理,以及最重要的是维护整个公司网络架构的安全性和稳定性。

如何减少IT管理员工作上的挑战

让我们先了解一下IT管理员在工作中的那些典型的‘枯燥’日子,以及了解他们在监视公司IT环境中的安全更改事件和使用安全工具时面临的常见问题。有些公司可能会成立一个单独的安全运营中心(SOC)团队来监视网络中的安全事件,但是大多数情况下,SOC团队的职责说到底还是由IT管理员来完成的。所以无论是谁来担任网络安全方面的职责,IT管理员的工作并不会因此而变得简单 。

为什么及时获取安全更改事件很重要?

以活动目录环境中Windows终端计算机上的密码攻击为例。攻击者可以使用Windows操作系统固有的功能和工具(在本例中为PowerShell)将自己隐藏公司内部网络内。

检测密码猜测攻击的唯一方法是监视网络中每台服务器上的登录事件。密码猜测攻击会在一定的时间内产生大量登录事件,但是诸如Windows中固有的 Event Viewer之类的本机审核工具无法筛选这些服务器的登录事件,因此短时间内是注意不到此类攻击的发生。

IT管理员面临的典型的网络安全挑战:

让我们看一下IT管理员通常如何度过他们的一天的,以及在他们监视网络中的安全发生变化时所面临的挑战。

星期一早上(一周的新起点):

新起点

当我们问到星期一早上到公司的他们做的第一件事是什么时,一位IT管理员无奈地吐槽说:“我发现周末当我不在时,有人对域进行了一些更改!现在,我正在寻找那些服务器上的异常登录以及那些被Help Desk或者部门经理批准的更改行为。”

在午饭前:

在午饭前

发现域环境的更改非常耗时,一天之中,整个过程有可能需要多达三个小时。而且随着公司开始采用公共云服务(例如Azure AD)以及传统的本地基础架构,这将更加耗时。

为了高效地利用工作时间和资源,IT管理员通常会优先处理高优先级的工单。

以下是IT管理员在收到的一些工单请求后示例:

工单请求后示例

如您所见,尽管IT管理员倾向于及时处理工单请求,但怀疑和担忧会时不时地困扰他们。请求者还会催促管理员尽快解决他们的问题。

经过了一个紧张的周一早晨,发现域环境的更改,处理完工单请求后,终于可以在一天中的最佳时机进行午餐了!(这可能是IT管理员享受的唯一的“快乐时光”。)

下午至晚上:

下午至晚上

午餐后用于确认网络中发生的每个事件是否得到了授权。这通常是一天中最困难的工作,因为这涉及到IT管理员需要调查IT基础架构的各个部分。例如:

监视以上所有更改至关重要

但是,攻击者可能会选择使用更隐蔽或更高级的技术,包括:

IT管理员面临的最大挑战包括变化的IT环境、不断增加的用户和设备数量、权限修改、访问和分布在基础架构中的数据,以及网络中各种设备生成的大量日志。

显然,IT管理员不能仅依靠本机选项来检测这些安全性更改。该过程涉及大量的手工操作。容易出错且耗时,有可能会使公司IT环境安全性更加混乱。

ManageEngine 全方位日志管理工具Log360,可以帮助IT管理员实时监控IT环境(例如Active Directory,Azure AD,Windows环境等)上发生的各种 变化,提供完整的防御策略。

Log360可以收集所有网络安全事件,也可以对其进行过滤,通过告警机制,及时向IT管理员报告网络安全更改或直接采取响应措施。

 

推荐阅读:

1.如何抵御MFA验证攻击

2.如何避免恶意域控破坏域服务的连续性和持久性?