具體來看等保2.0里面對安全日志審計有些什么樣的要求呢?這里摘錄了一些部分:
8.1.4.3 安全審計
1. 應(yīng)啟用安全審計功能�,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進(jìn)行審計�;
2. 審計記錄應(yīng)包括事件的日期和時間、用戶�、事件類型、事件是否成功及其他與審計相關(guān)的信息�;
3. 應(yīng)對審計記錄進(jìn)行保護(hù),定期備份�,避免受到未預(yù)期的刪除、修改或覆蓋等�;
4. 應(yīng)對審計進(jìn)程進(jìn)行保護(hù),防止未經(jīng)授權(quán)的中斷�。
8.1.5.2 審計管理
應(yīng)通過審計管理員對對審計記錄進(jìn)行分析,并根據(jù)分析結(jié)果進(jìn)行處理,包括根據(jù)安全審計策略對審計記錄進(jìn)行存儲�、管理和查詢等。
8.1.5.4 集中管控
應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總和集中分析�,并保證審計記錄的留存時間符合法律法規(guī)要求。
除了等保以外�,在網(wǎng)絡(luò)安全法里面也對日志的留存、安全審計提出了非常具體的要求:
“第二十一條 國家實行網(wǎng)絡(luò)安全等級保護(hù)制度�。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行下列安全保護(hù)義務(wù)�,保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問�,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改:
(一)制定內(nèi)部安全管理制度和操作規(guī)程�,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實網(wǎng)絡(luò)安全保護(hù)責(zé)任�;
(二)采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施�;
(三)采取監(jiān)測�、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施�,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月;
(四)采取數(shù)據(jù)分類�、重要數(shù)據(jù)備份和加密等措施�;
(五)法律、行政法規(guī)規(guī)定的其他義務(wù)”
審計過程是收集�、整理和分析審計證據(jù)的過程�,日志是最重要的審計證據(jù)。
審計的內(nèi)容包括各種操作日志�、流量日志、會話日志�、原始報文等,核心難點和關(guān)鍵技術(shù)是大數(shù)據(jù)的匯聚�、存儲、索引和分析技術(shù)�。
所以,安全審計就是收集和記錄信息系統(tǒng)的各種日志�、事件和流量信息,對這些信息進(jìn)行比較分析�,檢查用戶或系統(tǒng)是否按照要求正常運行的工作過程。
基于大數(shù)據(jù)技術(shù)的日志審計平臺
針對日志的數(shù)據(jù)量大�,結(jié)構(gòu)多樣,價值密度低的特點�,以及審計所要求的長期留存,不丟失�,不被篡改的要求。利用大數(shù)據(jù)技術(shù)來構(gòu)建日志審計和管理平臺是目前最優(yōu)的�,也是最主流的選擇。
大數(shù)據(jù)平臺有這樣一些優(yōu)點:
1�、 日志的形態(tài)有可能是文本,有可能是數(shù)據(jù)庫�,也有可能是通過接口提供的一個數(shù)據(jù)流�,大數(shù)據(jù)平臺能夠對接各種結(jié)構(gòu)化/非結(jié)構(gòu)化的數(shù)據(jù)�,滿足各類日志匯聚的要求;
2�、 現(xiàn)在典型的用戶IT環(huán)境中每天增加的日志量就在幾百GB以上甚至達(dá)到TB的級別,這個數(shù)據(jù)量累積下來就會達(dá)到很大的量�,而大數(shù)據(jù)平臺的擴展性能夠提供PB甚至EB級的存儲,以滿足海量日志存儲的要求�;
3、 在安全審計里面要求數(shù)據(jù)長期留存�,不丟失,不被篡改�。而大數(shù)據(jù)平臺內(nèi)建有數(shù)據(jù)多副本保存機制,能夠忍受硬盤的損壞甚至服務(wù)器節(jié)點的損壞而不丟失數(shù)據(jù)�,這也是他非常適合作為日志審計平臺的一個特性;
4�、 保存下來的日志還要能夠很方便地進(jìn)行查詢,在大數(shù)據(jù)平臺中提供了文本搜索引擎�,能夠?qū)θ罩具M(jìn)行索引,便于快速查詢和檢索�。
基于大數(shù)據(jù)技術(shù)的日志審計平臺還可以和企業(yè)身份管理系統(tǒng)進(jìn)行結(jié)合。在安全審計中一個重要的挑戰(zhàn)的就是數(shù)字身份怎樣能夠追溯到自然人�,通過日志審計和身份管理系統(tǒng)的結(jié)合�,我們不但可以審計系統(tǒng)中每個ID的操作行為,而且可以知道這個ID所對應(yīng)的自然人是誰�,從而完成安全審計的閉環(huán)。
基于大數(shù)據(jù)技術(shù)的日志審計平臺是滿足等保和其他法規(guī)要求的一個非常重要的安全基礎(chǔ)架構(gòu)。當(dāng)然�,實現(xiàn)安全審計和法規(guī)遵從,只是日志分析的一個應(yīng)用場景�。除此之外,日志分析在安全和運維等方面還可以有很多發(fā)揮作用的地方�。
日志安全審計能夠結(jié)合統(tǒng)一身份管理,實現(xiàn)自然人身份的追溯�,不僅如此,日志審計也可以幫助身份管理系統(tǒng)不只掌握用戶登錄到認(rèn)證系統(tǒng)的情況�,也能夠知道用戶登錄了之后又訪問了哪些業(yè)務(wù)系統(tǒng),在業(yè)務(wù)系統(tǒng)里面做了什么樣的操作�,兩者的結(jié)合就是用戶行為分析UEBA。
UEBA�,全稱是用戶和實體行為分析。UEBA結(jié)合了來自服務(wù)器�、網(wǎng)絡(luò)設(shè)備、VPN等的訪問日志�,來自身份管理系統(tǒng)的登錄信息,授權(quán)信息�,登錄操作的時間、地點�、頻率等各種維度,并且結(jié)合對于用戶行為的建模分析�,構(gòu)建用戶的訪問模式的基線baseline,從而能夠識別出異常的訪問并且對異常訪問的行為進(jìn)行告警�,幫助企業(yè)更好地識別和規(guī)避來自內(nèi)部的威脅和風(fēng)險�。
下面兩個用戶行為分析的例子:
1�、異常訪問檢測
異常訪問包括異常內(nèi)容、異常時間�、異常頻率、異常地點等各種異常情況�。
異常訪問檢測的場景可以用于離職審計,例如有員工提出離職�,我們可以回溯他過去一個月或者三個月的訪問行為,從中發(fā)現(xiàn)異常的情況�,例如訪問與他平時工作無關(guān)的資料,非工作時間的訪問�,大量的下載資料等等,以避免員工離職造成的信息泄露風(fēng)險�。
2、關(guān)于賬號的風(fēng)險檢測
報告賬號的泄露����,賬號的非法的共享等,如圖所示����,用戶B使用了用戶A的賬號訪問他本身沒有權(quán)限訪問的數(shù)據(jù),提示可能是用戶B盜取了用戶A的賬戶信息����,也可能是用戶A違規(guī)將賬戶分享給用戶B,無論哪種情況都是重要的安全風(fēng)險����。
其他的用戶行為分析的場景還包括:
◆ 同一賬號在不同地理位置登錄
◆ 已刪除或者掛起賬號的嘗試訪問
等等。
除此之外����,日志分析平臺還可以應(yīng)用于更多的場景,包括安全方面����、運維方面等,發(fā)揮其獨特的價值����。例如:
◆ 對于安全事件的集中管理分析
◆ 幫助運維人員快速進(jìn)行故障診斷
◆ 通過應(yīng)用交易日志的分析實現(xiàn)對于應(yīng)用性能的監(jiān)測。
等等����。
關(guān)于日志分析平臺的更多的應(yīng)用場景,將在后續(xù)的分享中展開做詳細(xì)的分析����。
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認(rèn)證IDA
細(xì)粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測API-SD
API管理平臺APIM
ESB 企業(yè)服務(wù)總線
特權(quán)訪問管理PAM
數(shù)據(jù)庫訪問管理CQ
數(shù)據(jù)治理平臺PDMP
一體化零信任
運維安全
數(shù)據(jù)安全治理
遠(yuǎn)程辦公安全
國產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺
數(shù)字化員工門戶
熱門文章
7*24小時服務(wù)
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認(rèn)證
滬公網(wǎng)安備 31011502012922號