当安全事件发生时,响应团队常常面临同样的困境:缺乏可用的日志。由于缺乏日志和糟糕的配置,企业往往比他们想象的更盲目,直到网络攻击揭示了残酷的真相。日志是一种文件,用于存储计算机系统或应用程序中的事件操作。尽管相当简单,但事件日志是安全分析师确定网络安全事件的原因、性质和影响的主要信息来源。但是,此类文档经常丢失甚至不存在。此外,缺少日志也不是什么秘密。大多数事件响应者认为,如果从一开始就提供适当的日志,他们的响应速度会快得多;但通常,他们得不到正确的日志。最令人惊讶的是,系统管理员在事件发生后才意识到自己极度缺乏日志。这导致根本原因分析通常需要事后取证而不是立即采取行动。此外,取证分析师通常需要花费大量时间来确定攻击的范围。更糟糕的是,有时甚至无法进行全面分析,因为根本没有收集到正确的信息,更不用说存储足够长的时间(覆盖)了。这怎么发生的?让我们来看看为什么这么多组织的日志管理策略不足,以及如何在网络事件发生之前修复它。默认设置导致的安全故障现实情况是,很少有组织实施真正的日志记录策略。企业的日志计划往往按照默认配置执行:只生成最基本的日志,并设置覆盖模式以节省存储空间。这个想法是这样只保存最有用的信息。但是,仅仅采用“最小公因子”的方法并不能始终满足企业的网络安全需求。缺乏集中式日志记录使发现网络攻击的过程变得复杂,因为日志是由每个产品在本地生成的(管理员通常不知道在哪里)。通常,当发生安全事件时,IT部门并不准备响应事件响应团队的请求。由于无法确定受影响的IP是哪台机器或哪个用户,企业很难确定事件是如何发生的,或者对网络的影响会有多大。因此,即使将管理员重定向到中央日志记录服务也无济于事。他们需要收集所有日志并将日志设置为审计和详细级别。这是两个经常被忽视的设置选项。业务不记录真实数据,只是存储通用的“启动”和“停止”动作,表示某个软件的开启和关闭,没有任何细节,不收集“用户‘黑客’启动程序”之类的东西Y”和“用户‘黑客’将文件复制到X共享位置”安全事件。如果说缺少日志和受限信息本身还不足以无能为力,那么盗取权限就更令人沮丧了。如果没有适当的日志记录策略,相应的帐户可以删除或篡改可用的日志。一旦这样的账户被攻破,攻击者可以抹去日志中最有用的信息,使事件的调查变得复杂,甚至无法调查。创建有效的日志记录策略确定有效的日志记录策略是制定可靠的事件响应计划的关键。日志记录政策因公司及其信息系统的敏感性而异。此外,日志本身也需要受到保护。问题是企业需要来自所有系统、云、本地、混合或应用程序的收集器,这些收集器可以在一个地方聚合和搜索。这些也需要保护,当您认为过去10年最臭名昭著的数据泄露涉及不安全的日志时,您可以看到该怎么做。企业拿到日志后需要进行审核,组织一些桌游尝试利用日志来识别活动。这样做可以帮助企业团队理解为什么通过单一界面发起跨所有日志的查询可以成倍提高效率并减少几天的干预时间。对特权帐户实施特殊监控也很重要,以便记录特权事件。监控特权帐户的目标尤其是要有足够的事件来记录整个会话,以便轻松识别管理员或特权帐户执行的操作。通常,如果没有仔细考虑,就会遗漏成百上千个关键事件。通过设置专用解决方案来长期保存来自各种系统的日志(超过一年而不是仅仅90天),IT团队可以确保他们有足够的资源来正确分析事件。强大的日志记录策略并不是一个新概念,但如果组织忽略日志,他们只会坐以待毙,等待网络攻击袭击他们的家门口。实施可靠的日志记录策略不仅可以让组织快速有效地应对危机,还可以加快事件的根本原因分析。
