本文是有關(guān)安全日志分析的兩部分系列講座的第一部分。下面的第一部分討論日志監(jiān)測(cè)和分析的重要性。第二部分將幫助你弄懂日志數(shù)據(jù),并且使用這些數(shù)據(jù)有效地保護(hù)你的網(wǎng)絡(luò)和增強(qiáng)你的網(wǎng)絡(luò)的安全。
日志數(shù)據(jù)可以是有價(jià)值的信息寶庫(kù),也可以是毫無(wú)價(jià)值的數(shù)據(jù)泥潭。要保護(hù)和提高你的網(wǎng)絡(luò)安全,由各種操作系統(tǒng)、應(yīng)用程序、設(shè)備和安全產(chǎn)品的日志數(shù)據(jù)能夠幫助你提前發(fā)現(xiàn)和避開(kāi)災(zāi)難,并且找到安全事件的根本原因。
當(dāng)然,日志數(shù)據(jù)對(duì)于實(shí)現(xiàn)網(wǎng)絡(luò)安全的價(jià)值有多大取決于兩個(gè)因素:第一,你的系統(tǒng)和設(shè)備必須進(jìn)行合適的設(shè)置以便記錄你需要的數(shù)據(jù)。第二,你必須有合適的工具、培訓(xùn)和可用的資源來(lái)分析收集到的數(shù)據(jù)。
你不能分析你沒(méi)有的東西
在你能夠分析日志數(shù)據(jù)之前,你顯然要收集數(shù)據(jù)。更重要的是,記錄數(shù)據(jù)的程序或者設(shè)備要設(shè)置為收集你需要的數(shù)據(jù)。例如,微軟的Windows操作系統(tǒng)在“Event Viewer Security”(安全事件觀察器)中能夠檢查到各種活動(dòng)和日志信息。然而,在Windows 2000和XP中,安全檢查功能并不是缺省啟用的,Windows Server 2003缺省的安全檢查設(shè)置也許不能滿足你的需求。
對(duì)于Windows中的安全檢查事件,你可以選擇記錄成功的嘗試,或者記錄失敗的嘗試。如果你僅選擇記錄失敗的訪問(wèn)文件和文件夾的數(shù)據(jù),記錄的數(shù)據(jù)就不會(huì)顯示這個(gè)文件是什么時(shí)候被成功破解的。如果你僅記錄成功地訪問(wèn)一個(gè)用戶賬號(hào)的嘗試,記錄的數(shù)據(jù)就不會(huì)向你顯示一個(gè)黑客50次沒(méi)有猜對(duì)那個(gè)賬號(hào)的用戶名和密碼。
無(wú)論你是在使用Windows操作系統(tǒng)還是任何其它的設(shè)備和程序,你必須花費(fèi)一些時(shí)間和努力事先了解你擁有的安全日志功能,并且為你的需要恰當(dāng)?shù)卦O(shè)置好日志選項(xiàng)。雖然簡(jiǎn)單地把一切都記錄下來(lái)似乎是合乎邏輯的,但是,監(jiān)測(cè)和記錄安全事件會(huì)給處理器增加工作負(fù)擔(dān)并且要使用內(nèi)存和硬盤的空間。你需要了解可用的日志選項(xiàng),在記錄一切和全不記錄之間選擇最佳的平衡點(diǎn),以便記錄對(duì)你有價(jià)值的數(shù)據(jù)。
信息過(guò)載
一旦你收集完日志數(shù)據(jù),這個(gè)挑戰(zhàn)就是如何有效地利用這些數(shù)據(jù)。位于新澤西州Edison的netForensics公司安全戰(zhàn)略家Anton Chuvakin指出:“一旦技術(shù)合適和收集完日志,就需要實(shí)施一個(gè)監(jiān)測(cè)程序并且評(píng)估行動(dòng)中的陷阱和可能的升級(jí)。
網(wǎng)絡(luò)和安全管理員經(jīng)常花費(fèi)時(shí)間建立日志數(shù)據(jù)收集,但是,他們沒(méi)有處理這些數(shù)據(jù)或者沒(méi)有現(xiàn)成的資源來(lái)監(jiān)測(cè)和分析那些數(shù)據(jù)。因?yàn)闆](méi)有人監(jiān)測(cè)這些日志數(shù)據(jù),有關(guān)網(wǎng)絡(luò)偵察或者潛在的攻擊的信息也許會(huì)被忽略而失去時(shí)效。
當(dāng)安全事件發(fā)生時(shí),查看日志數(shù)據(jù)也許可以確定事件發(fā)生的時(shí)間。但是,在很多情況下,需要查看的數(shù)據(jù)量太大,人們沒(méi)有經(jīng)過(guò)技術(shù)培訓(xùn)或者不會(huì)查看這些數(shù)據(jù),有日志數(shù)據(jù)也沒(méi)有意義了。
現(xiàn)在,有安全事件管理(SEM)應(yīng)用軟件等一些工具專門用于監(jiān)測(cè)安全事件并且使用某些邏輯或者過(guò)濾器幫助管理員獲取有意義的數(shù)據(jù)。然而,這些工具仍需要設(shè)置和恰當(dāng)?shù)厥褂貌拍苡行省H藗円獙?duì)過(guò)濾的數(shù)據(jù)有所了解并且采取措施。
收集堆積如山的事件日志數(shù)據(jù),如果沒(méi)有經(jīng)過(guò)培訓(xùn)的人員和資源對(duì)這些日志數(shù)據(jù)進(jìn)行監(jiān)測(cè)和分析,就如同沒(méi)有收集任何數(shù)據(jù)一樣毫無(wú)用處。在本系列講座的下一講,我將提供一些技巧,幫助你了解這些日志數(shù)據(jù)的意義,并且使用這些數(shù)據(jù)保護(hù)你的網(wǎng)絡(luò)和增強(qiáng)網(wǎng)絡(luò)的安全。
