日志管理的九个建议

日志是溯源取证的核心。但是,日志只有被完整地收集、长时间地储存,并包含所有调查需要的日志管理的九个建议

谷歌云的首席安全解决策略专家Anton Chuvakin博士表示:“企业如何能够减少攻击者隐藏他们行踪,甚至破坏日志文件的行为?答案很明显:用一个日志管理工具中心化管理日志。不管是2021年,2011年,2001年,甚至可能1991年,都不会变。”

但是,所有安全专家都知道,1991年日志管理的情况远远没有现在的复杂、庞大。日志管理需要不出差错地记录数据事件——而现代业务有着海量的数据。

这样一来,管理不计其数的日志就成了日常难题;需要满足越来越多的法律法规进一步提升了复杂度——比如HIPPA要求日志保留至少六年,而SOX要求七年,Basel II Accord则要求三到七年。

因此,日志管理需要做得合理、正确,并且精确,不能做得过多,也不能做得太少——要恰到好处,以一种能够完全帮助溯源取证的方式进行,甚至当罪犯刻意隐藏自己行为的时候都能实现追踪。

一些专家在Dark Reading上分享了九条和日志管理相关的实践建议。

将日志从原本的设备和系统中剥离出来

犯罪分子总是针对特定的系统和设备,并将他们的相关操作日志移除,以掩盖自己的行踪。如果通过工具将日志从设备和系统中导出,并存储在一个分开、安全的位置,就能够确保好人依然能够看到坏人的所作所为。

全球法律公司Hogan Lovells的高级审计员Nathan Salminen认为:“考虑一下,把日志从创建他们的系统和设备中移除。可以用SIEM工具,或者一个简单的日志集合工具,将整个企业中的日志采集并存放在一个能够被好好保护好的地方。这样,即使一个威胁因子成功毁坏,或者编辑了目标系统上日志,相关信息依然能够被保存。”

Salminen同样还是OSCP,他还提醒到,有许多组织已经有这样的工具了,但是有一部分企业依然没有使用这些工具实行相关操作。

除此以外,Salminen表示,他见到的最多的问题是“组织从来不记录事件,或者不将日志保存足够长到判断攻击者是否有成功攻击系统的时间。”

在不同位置记录日志

全球资讯公司Alix Partners的SVP,Kevin Madura则认为,企业应该在成本和算力的限制下,尽可能有“更多冗余的日志点”,包括应用、应用服务器、网站服务器、负载均衡器、以及如防火墙、交换机、路由器和终端之类的网络设备。“

在网络的不同位置进行日志记录非常关键。这样能帮助调查人员理解攻击者如何潜入,以及他们在网络中的行踪,还有他们在初始入侵之后的意图。”他提到,“这也能帮助发现哪些系统和数据可能在攻击中沦陷,然后决定是否有其他系统应该进行犯罪调查。”

通过云端防护

将日志迁移到云端还能让犯罪份子的工作更加复杂。

Cato Networks的安全主任Elad Menahem提出:“保护日志系统的第一缓解方式,考虑用基于云的日志解决方案。将日志服务器到云端会让攻击者攻击两个网络,而不是一个。同时,云服务商会比普通的企业在安全方面投入更多成本。”

但无论是自己保护日志系统,还是在云端,日志备份总是一个好主意——因为攻击者不总是破坏日志,有时候他们会修改日志,或者通过活动过载等各种方式污染日志内容。

在犯罪数据中加入储存媒介的图片

一图往往胜千语——尤其是当图片能把握到一些日志之外,却和事件相关的信息的时候。“

许多犯罪调查是通过浏览存储媒介的图片,而非浏览日志解决的。不时对虚拟机截屏并且保存相关图片,能对攻击者的行为带来非常有价值的情报。”全球法律公司Hogan Lovells的合伙人Peter Marta如是说到,他同时也是前摩根大通银行的全球鸿蒙官方战略合作共建――HarmonyOS技术社区

  • 网络安全工程师演示:白帽子是如何进行Windows计算机系统的信息收集的?
  • Web 网络攻击及如何预防讲解
  • 新数据显示过去一年针对欧洲关键目标的重大网络攻击数量翻倍
  • EA承认遭到网络攻击 780G游戏、引擎源代码和内部开发工具泄露
  • 无需更换系统防止固件攻击的三种方法
  • 版权声明:玥玥 发表于 2021-06-17 5:26:30。
    转载请注明:日志管理的九个建议 | 女黑客导航