面对海量日志 合规性日志管理和安全审计要怎么做?

企业中的主机、服务器、防火墙、交换机、防毒墙、无线路由等等要维护的设备越来越多,日志管理与安全审计的工作也变得越来越复杂。

文/图 王文文

随着很多中小企业公司慢慢发展,变成了上市或准上市公司。以前单一的防毒、防黑简单要求也细化到了集身份认证和日志管理、安全审计、法规遵从等等立体化的必须选项。比如国外有很多法律法规需要上市公司遵从。很多海外上市的公司也面对着各种纷繁复杂的法律法规。

Verizon Business公司风险小组发布的《2010年数据泄漏调查报告》里面有一些令人惊讶的统计数字和细节内容。比如说,2010年报告声称:"我们一再发现,虽然日志十有八九可供企业使用,但通过分析日志来发现数据泄漏的仍然不足5%。"由此看来,日志管理分析和安全审计的重要性还远远没让那些企业所理解。

现在的难处是?

有些操作系统本身自带日志管理工具,还可以简单看一下。有些没有日志管理工具的设备就让人头疼了……况且网络中各个节点分布在不同地方,不同设备的安全事件也各不相同。没有科学分析的情况下。不同设备的大量日志几乎都无法关联起来。如图1所示。


图1(这么多东西的日志要管理,怎么弄?)

当然,即使可以匹配起来,那么海量的日志,单靠管理人员的勤奋……一个一个看过来恐怕也不太现实。更别说分析了。而且随着高水平黑客越来越多。系统本地的日志经常被修改或直接删除。如图2所示。有些入侵检测系统在遭遇攻击时产生的大量日志,甚至还没有保存就被迫丢弃。

图2(一些黑客工具可轻易清除系统日志)

图2(一些黑客工具可轻易清除系统日志) 

 

难道就没办法解决吗?

企业运维人员需要一个高度集中统一管理的日志平台。这个平台必须能在复杂的网络中高效的收集管理各类设备的日志,让运维人员方便、直观的看到网络和系统目前的运行状况。及时的发现黑客攻击及其他异常行为。不单如此,符合各种法规要求的日志记录和分析功能也必须带上。用户需要的不但是一个强大的安全审计工具,还是一个帮助其管理和评估网络系统运行状况的平台(全程审计并记录问题的发现到问题的解决)。

按照这种严格的要求,能符合要求的安全产品似乎不多。目前市面上有一些满足其部分要求的IT管理软件,但很多都需要在被管理机器上安装插件或额外配置一台服务器。

如果对安全性要求比较高,可以部署全功能的SIEM。这是可横跨网络内部,从交换机和路由器到安全设备、应用、服务器以及存储设备,提供所有安全威胁100%可视化的安全信息及事件管理解决方案。高端的SIEM可以把看似不相关的安全与网络事件转化为有意义的智能,帮助降低IT人员的压力,提高安全人员的工作效率,并实现持续的法规遵从。如图3所示。

图3(SIEM系统在工作中)

图3(SIEM系统在工作中)

给安全运维人员的一个建议

从法规遵从和企业内控角度看,如何让数据更加安全?针对这一问题,RSA中国区资深技术顾问冯崇彪先生表示:这个需要整体的安全考虑,一个企业传统的安全设备可能很齐全了,在这个基础上他们可能需要有更多的防护措施,比如安全信息事件管理,DLP数据防泄露,或者基于风险的自适应认证等等。比如有些交易方面的系统,需要有相应的交易监控。再次,对于网络上高级的攻击需要有相应的安全信息监控管理系统(平台)去防范,这样才能及时、全面地管理新的威胁。

 

你可能感兴趣的:(职场,rsa,休闲,Siem,安全审计)