具體來看等保2.0里面對安全日志審計有些什么樣的要求呢�����?這里摘錄了一些部分:
8.1.4.3 安全審計
1. 應啟用安全審計功能�����,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計�����;
2. 審計記錄應包括事件的日期和時間、用戶����、事件類型����、事件是否成功及其他與審計相關的信息�;
3. 應對審計記錄進行保護,定期備份�,避免受到未預期的刪除��、修改或覆蓋等;
4. 應對審計進程進行保護����,防止未經授權的中斷�。
8.1.5.2 審計管理
應通過審計管理員對對審計記錄進行分析,并根據分析結果進行處理���,包括根據安全審計策略對審計記錄進行存儲�����、管理和查詢等。
8.1.5.4 集中管控
應對分散在各個設備上的審計數據進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規(guī)要求��。
除了等保以外���,在網絡安全法里面也對日志的留存、安全審計提出了非常具體的要求:
“第二十一條 國家實行網絡安全等級保護制度��。網絡運營者應當按照網絡安全等級保護制度的要求����,履行下列安全保護義務���,保障網絡免受干擾�����、破壞或者未經授權的訪問��,防止網絡數據泄露或者被竊取�、篡改:
(一)制定內部安全管理制度和操作規(guī)程�����,確定網絡安全負責人���,落實網絡安全保護責任���;
(二)采取防范計算機病毒和網絡攻擊�、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監(jiān)測�����、記錄網絡運行狀態(tài)、網絡安全事件的技術措施��,并按照規(guī)定留存相關的網絡日志不少于六個月;
(四)采取數據分類�、重要數據備份和加密等措施�����;
(五)法律��、行政法規(guī)規(guī)定的其他義務”
審計過程是收集���、整理和分析審計證據的過程���,日志是最重要的審計證據。
審計的內容包括各種操作日志�����、流量日志�����、會話日志、原始報文等���,核心難點和關鍵技術是大數據的匯聚�����、存儲��、索引和分析技術��。
所以�,安全審計就是收集和記錄信息系統(tǒng)的各種日志����、事件和流量信息,對這些信息進行比較分析��,檢查用戶或系統(tǒng)是否按照要求正常運行的工作過程。
針對日志的數據量大���,結構多樣��,價值密度低的特點����,以及審計所要求的長期留存�,不丟失��,不被篡改的要求����。利用大數據技術來構建日志審計和管理平臺是目前最優(yōu)的,也是最主流的選擇。
大數據平臺有這樣一些優(yōu)點:
1、 日志的形態(tài)有可能是文本,有可能是數據庫�,也有可能是通過接口提供的一個數據流,大數據平臺能夠對接各種結構化/非結構化的數據�,滿足各類日志匯聚的要求���;
2�、 現(xiàn)在典型的用戶IT環(huán)境中每天增加的日志量就在幾百GB以上甚至達到TB的級別,這個數據量累積下來就會達到很大的量���,而大數據平臺的擴展性能夠提供PB甚至EB級的存儲��,以滿足海量日志存儲的要求��;
3��、 在安全審計里面要求數據長期留存����,不丟失,不被篡改�����。而大數據平臺內建有數據多副本保存機制��,能夠忍受硬盤的損壞甚至服務器節(jié)點的損壞而不丟失數據���,這也是他非常適合作為日志審計平臺的一個特性�����;
4�、 保存下來的日志還要能夠很方便地進行查詢���,在大數據平臺中提供了文本搜索引擎��,能夠對日志進行索引���,便于快速查詢和檢索。
基于大數據技術的日志審計平臺還可以和企業(yè)身份管理系統(tǒng)進行結合����。在安全審計中一個重要的挑戰(zhàn)的就是數字身份怎樣能夠追溯到自然人��,通過日志審計和身份管理系統(tǒng)的結合�,我們不但可以審計系統(tǒng)中每個ID的操作行為���,而且可以知道這個ID所對應的自然人是誰,從而完成安全審計的閉環(huán)���。
基于大數據技術的日志審計平臺是滿足等保和其他法規(guī)要求的一個非常重要的安全基礎架構��。當然�,實現(xiàn)安全審計和法規(guī)遵從�����,只是日志分析的一個應用場景�。除此之外,日志分析在安全和運維等方面還可以有很多發(fā)揮作用的地方����。
日志安全審計能夠結合統(tǒng)一身份管理,實現(xiàn)自然人身份的追溯�,不僅如此���,日志審計也可以幫助身份管理系統(tǒng)不只掌握用戶登錄到認證系統(tǒng)的情況,也能夠知道用戶登錄了之后又訪問了哪些業(yè)務系統(tǒng)����,在業(yè)務系統(tǒng)里面做了什么樣的操作,兩者的結合就是用戶行為分析UEBA���。
UEBA���,全稱是用戶和實體行為分析。UEBA結合了來自服務器�����、網絡設備��、VPN等的訪問日志����,來自身份管理系統(tǒng)的登錄信息,授權信息���,登錄操作的時間�、地點、頻率等各種維度�����,并且結合對于用戶行為的建模分析�,構建用戶的訪問模式的基線baseline,從而能夠識別出異常的訪問并且對異常訪問的行為進行告警�����,幫助企業(yè)更好地識別和規(guī)避來自內部的威脅和風險����。
下面兩個用戶行為分析的例子:
1����、異常訪問檢測
異常訪問包括異常內容、異常時間���、異常頻率���、異常地點等各種異常情況。
異常訪問檢測的場景可以用于離職審計�,例如有員工提出離職�����,我們可以回溯他過去一個月或者三個月的訪問行為�,從中發(fā)現(xiàn)異常的情況�����,例如訪問與他平時工作無關的資料���,非工作時間的訪問��,大量的下載資料等等��,以避免員工離職造成的信息泄露風險���。
2、關于賬號的風險檢測
報告賬號的泄露�,賬號的非法的共享等,如圖所示��,用戶B使用了用戶A的賬號訪問他本身沒有權限訪問的數據��,提示可能是用戶B盜取了用戶A的賬戶信息,也可能是用戶A違規(guī)將賬戶分享給用戶B�,無論哪種情況都是重要的安全風險。
其他的用戶行為分析的場景還包括:
◆ 同一賬號在不同地理位置登錄
◆ 已刪除或者掛起賬號的嘗試訪問
等等��。
除此之外�,日志分析平臺還可以應用于更多的場景,包括安全方面����、運維方面等,發(fā)揮其獨特的價值�����。例如:
◆ 對于安全事件的集中管理分析
◆ 幫助運維人員快速進行故障診斷
◆ 通過應用交易日志的分析實現(xiàn)對于應用性能的監(jiān)測���。
等等。
關于日志分析平臺的更多的應用場景�,將在后續(xù)的分享中展開做詳細的分析。
一體化零信任
運維安全
數據安全治理
遠程辦公安全
國產化替代
企業(yè)合規(guī)管控
數字化集成平臺
數字化員工門戶
熱門文章
7*24小時服務
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權威安全認證
滬公網安備 31011502012922號