日志是溯源取证的核心。然而,日志只有在完整收集、长期存储并包含调查所需的所有信息且不被恶意行为者提前访问的情况下才有价值——这是最重要的。谷歌云首席安全解决方案策略专家AntonChuvakin博士表示:“企业如何减少攻击者隐藏行踪甚至破坏日志文件的行为?答案显而易见:使用日志管理工具集中管理日志。无论是2021年、2011年、2001年,甚至1991年,都不会变。”然而,所有安全专家都知道,1991年的日志管理情况远没有今天那么复杂和庞大。日志管理需要无差错地记录数据事件——而现代企业拥有海量数据。因此,管理着无数的数据事件。日志已经成为日常挑战;满足越来越多的法律法规的需要进一步增加了复杂性——比如HIPPA要求日志至少保存六年,而SOX要求七年,BaselIIAccord三到七年是因此,日志管理需要做到合理、正确、准确,不能太多也不能太少,恰到好处,完全有利于溯源取证,即使不法分子故意隐瞒行为也能被追踪到任何时候,有专家在DarkReading上分享了日志管理的九大实用建议剥离原始设备和系统的日志犯罪分子总是针对特定的系统和设备s并删除他们的相关操作日志以掩盖他们的踪迹。拥有从设备和系统中导出日志并将其存储在单独、安全位置的工具可确保好人仍然可以看到坏人在做什么。全球律师事务所HoganLovells的高级审计员NathanSalminen表示:“考虑从创建日志的系统和设备中删除日志。您可以使用SIEM工具或简单的日志聚合工具来收集整个企业的日志。并且将其存储在受保护的地方。这样,即使威胁代理成功破坏或编辑目标系统上的日志,相关信息仍然可以保留。同为OSCP的Salminen也提醒,很多组织已经有了这样的工具,但有些公司仍然没有使用这些工具来进行相关操作。除此之外,Salminen说,他看到的最常见问题是“从不记录事件的组织,或者保存日志的时间不够长,无法判断攻击者是否已成功破坏系统。”AlixPartnersSVPKevinMadura认为,在成本和算力的约束下,企业应该尽可能拥有“更多的冗余日志点”,包括应用、应用服务器、网站服务器、负载均衡器、防火墙等网络设备如交换机、路由器和终端。“在网络的不同点进行日志记录非常重要。它有助于调查人员了解攻击者是如何进入的,他们在网络中的位置,以及他们在最初入侵后的意图是什么,”他说。帮助发现哪些系统和数据可能在攻击中遭到破坏,然后决定是否还有其他系统需要进行刑事调查。”通过云保护将日志移动到云中也使犯罪分子的工作变得复杂。CatoNetworks安全总监EladMenahem建议:“保护日志系统的第一个缓解方法是考虑使用基于云的日志解决方案。将日志服务器放到云端将允许攻击者攻击两个网络而不是一个网络。与此同时,云服务商会在安全方面的支出高于一般企业。”但是无论您是自己保护日志系统,还是在云中保护日志系统,拥有日志备份总是一个好主意——因为攻击者并不总是破坏日志,有时他们会修改它们,或者通过各种方式污染日志内容,例如活动超载。在犯罪数据中添加一张存储介质的图片往往胜过千言万语——尤其是当图片捕获的信息与日志之外的事件相关时。“很多刑事侦查是通过浏览存储介质的图片而不是浏览日志来解决的。对虚拟机进行截图并时时保存相关图片,可以为攻击者的行为带来非常有价值的情报。”HoganLovells全球律师事务所合伙人PeterMarta表示,他也是前摩根大通银行全球网络安全法务负责人,“历史截图往往比事后系统截图更有价值,因为事后截图往往被加密或屏蔽”另一方面,备份并不是应对攻击的灵丹妙药,因为备份“往往只存储数据分区,很少存储未分配分区的数据——这对于识别已删除的文件通常至关重要。“不要太快让受感染的系统下线。几乎每个人都希望在发现攻击时尽快让他们的系统下线。事实上,Marta认为:“虽然这种行为是可以理解的,但这样做会错失全貌。系统中发生的事情的可能性,特别是现在恶意软件正在演变为甚至不接触存储介质的变体。在使系统脱机之前拍摄内存快照是有意义的。“事实上,记忆永远是攻击事件的核心,行为的记录会在记忆中产生。德勤网络和战略风险的风险和财务咨询专家史蒂文贝克建议:“确保安全团队中的每个人都有分析记忆的能力。大多数恶意软件不直接写入磁盘,而是直接在内存中运行,因此如果没有适当的技能和实践,很难分析。IT团队中应该有一个稳定的流程,以便能够在调查之前从可疑系统中获取内存信息。如果相关人员排查没有发现问题,则删除那部分内存,继续下一步排查;如果找到线索,可以根据记忆做进一步的分析。“了解哪些日志文件有帮助尽管有用文件的类别因事件类型而异,但总有一些共同点很有价值。Salminen认为以下是兴趣点:访问系统IP地址的Internet日志-这些是调查许多类型事件的核心。失败的身份验证尝试通常可以帮助调查人员识别密码猜测攻击。文件创建记录对调查人员来说始终是有价值的日志数据。具体来说,识别解压缩文件的创建位置和将哪些数据放入解压缩文件通常是确定哪些数据准备好被泄露的关键步骤。RDP日志和远程控制连接日志通常可以帮助调查人员找出威胁因素网络中的移动路线。数据库请求日志有时可以帮助调查人员确定访问了哪些数据。测试日志的有用性并非所有日志都是“平等地”创建的,因此最好检查一下这些日志有什么用——尤其是在业务真正需要使用那些日志之前。”兵棋推演可以帮助公司了解业务日志文件的真正用途,以及日志差距在哪里。“模拟常见或目标驱动的网络攻击可以帮助组织确定哪些数据对于理解事件的全局和执行根本原因分析至关重要,”Baker说。“这也是了解其他组织认为有用的日志消息的好方法。GoogleCloud的Chuvakin提到他最喜欢的日志类型是服务器/端点、远程访问、多种安全工具(IDS/IPS、防病毒)和云(SaaS、通过CAS身份验证协议的IaaS)日志。专用淘汰管理的日志数量增加的速度并没有减少,但是不要为了存储更多的日志而过快地删除以前的日志。InfosecInstitute的信息安全作者KeatronEvans表示:“即使使用了强大的SIEM工具,日志管理也可能很困难。此外,这些日志并不总是妥善保存。日志的绝对数量意味着他们经常需要被淘汰。为新日志腾出空间。存储容量是企业日志管理的主要挑战。”虽然日志只是安全架构和计划的一部分,但它们对于刑事调查至关重要。“关键是在网络攻击发生之前形成有效的应对策略,如果一开始没有配置好任何日志,就无法检测到事件。”贝克提到。提前不过度准备通常可以节省很多时间,这意味着提前管理好日志。但要注意:过度准备也会招致很多不必要的成本。AlixPartners的Madura说:“记录一切很容易,但如果你不根据你的需要仔细地做,你最终会增加而不是降低风险。”捕获所有记录的信息可能会意外收集未加密的PII、用户数据、密码和其他敏感信息,从而产生额外的风险。但即便如此,这并不意味着日志记录越少越好。佛罗里达国际大学讲师马特·拉德尔(MattRuddell)强调:“虽然庞大的数据量可能看起来很可怕,但优秀的刑事调查人员应该有足够的硬件和软件来处理这些日志。然而,这确实成为一个问题,因为数字犯罪的调查人员是总是很难找到足够的预算来保持他们的设备和成本是最新的。”
