日志是溯源取证的核心。但是,日志只有被完整地收集、长时间地储存,并包含所有调查需要的信息,同时不被恶意人员提前获取的情况下,才有价值——这才是重中之重。
谷歌云的首席安全解决策略专家Anton Chuvakin博士表示:“企业如何能够减少攻击者隐藏他们行踪,甚至破坏日志文件的行为?答案很明显:用一个日志管理工具中心化管理日志。不管是2021年,2011年,2001年,甚至可能1991年,都不会变。”
但是,所有安全专家都知道,1991年日志管理的情况远远没有现在的复杂、庞大。日志管理需要不出差错地记录数据事件——而现代业务有着海量的数据。
这样一来,管理不计其数的日志就成了日常难题;需要满足越来越多的法律法规进一步提升了复杂度——比如HIPPA要求日志保留至少六年,而SOX要求七年,Basel II Accord则要求三到七年。
因此,日志管理需要做得合理、正确,并且精确,不能做得过多,也不能做得太少——要恰到好处,以一种能够完全帮助溯源取证的方式进行,甚至当罪犯刻意隐藏自己行为的时候都能实现追踪。
一些专家在Dark Reading上分享了九条和日志管理相关的实践建议。
将日志从原本的设备和系统中剥离出来
犯罪分子总是针对特定的系统和设备,并将他们的相关操作日志移除,以掩盖自己的行踪。如果通过工具将日志从设备和系统中导出,并存储在一个分开、安全的位置,就能够确保好人依然能够看到坏人的所作所为。
全球法律公司Hogan Lovells的高级审计员Nathan Salminen认为:“考虑一下,把日志从创建他们的系统和设备中移除。可以用SIEM工具,或者一个简单的日志集合工具,将整个企业中的日志采集并存放在一个能够被好好保护好的地方。这样,即使一个威胁因子成功毁坏,或者编辑了目标系统上日志,相关信息依然能够被保存。”
Salminen同样还是OSCP,他还提醒到,有许多组织已经有这样的工具了,但是有一部分企业依然没有使用这些工具实行相关操作。
除此以外,Salminen表示,他见到的最多的问题是“组织从来不记录事件,或者不将日志保存足够长到判断攻击者是否有成功攻击系统的时间。”
在不同位置记录日志
全球资讯公司Alix Partners的SVP,Kevin Madura则认为,企业应该在成本和算力的限制下,尽可能有“更多冗余的日志点”,包括应用、应用服务器、网站服务器、负载均衡器、以及如防火墙、交换机、路由器和终端之类的网络设备。
“在网络的不同位置进行日志记录非常关键。这样能帮助调查人员理解攻击者如何潜入,以及他们在网络中的行踪,还有他们在初始入侵之后的意图。”他提到,“这也能帮助发现哪些系统和数据可能在攻击中沦陷,然后决定是否有其他系统应该进行犯罪调查。”
通过云端防护
将日志迁移到云端还能让犯罪份子的工作更加复杂。
Cato Networks的安全主任Elad Menahem提出:“保护日志系统的第一缓解方式,考虑用基于云的日志解决方案。将日志服务器到云端会让攻击者攻击两个网络,而不是一个。同时,云服务商会比普通的企业在安全方面投入更多成本。”
但无论是自己保护日志系统,还是在云端,日志备份总是一个好主意——因为攻击者不总是破坏日志,有时候他们会修改日志,或者通过活动过载等各种方式污染日志内容。
在犯罪数据中加入储存媒介的图片
一图往往胜千语——尤其是当图片能把握到一些日志之外,却和事件相关的信息的时候。
“许多犯罪调查是通过浏览存储媒介的图片,而非浏览日志解决的。不时对虚拟机截屏并且保存相关图片,能对攻击者的行为带来非常有价值的情报。”全球法律公司Hogan Lovells的合伙人Peter Marta如是说到,他同时也是前摩根大通银行的全球网络安全法律负责人,“历史截屏往往比事件后系统的截图更有价值,因为事件后的截图往往会被加密或者掩盖。”
另一方面,备份也并非是在攻击中的万灵药,因为备份“往往只存储数据分区,极少会储存未分配分区的数据——而这些数据往往对识别已删除文件至关重要。”
不要太快下线受攻击系统
几乎每个人都想着在发现攻击的时候最快下线他们的系统。
而事实上,Marta认为:“虽然这种行为可以理解,但是这么做会错过全面理解系统中在发生什么事件的机会,尤其是当下的恶意软件在不断演进到各种变体,甚至不会触碰到存储媒介。在下线系统前对内存进行一次快照非常有意义。”
事实上,内存总是攻击事件中的核心,行为的记录都会内存中产生。
德勤在网络和战略风险的风险与金融咨询专家Steven Baker建议:“确保安全团队的每个人都有内存分析的能力。大部分恶意软件都不会直接对磁盘进行写入,而是直接在内存中运行,因此如果没有适当的技能和实践会很难进行分析。IT团队中应该有一个稳定的流程,能够在调查前,从可疑系统中抓取内存信息。如果相关人员调查后没有发现问题,那就删除那部分内存继续下一个调查;如果发现了蛛丝马迹,就能根据内存进一步分析。”
知道哪些日志文件是有帮助的
尽管根据事件的类型,有帮助的文件类别各不相同,但是有一些共性点总是有价值的。Salminen认为以下几个都是需要关注的点:
•接入互联网系统的IP地址的日志——这些是许多类型事件的调查核心。
•失败的认证尝试可以帮助调查人员识别一般的口令猜测攻击。
•文件创建记录对调查人员而言总是有价值的日志数据。具体来说,识别一个解压缩文件的创建位置,以及哪些数据被放入解压缩文件了,往往是判别哪些数据准备被泄露的关键步骤。
•RDP日志以及远程控制连接日志通常能帮助调查人员描绘出威胁因素在网络中的移动路线。
•数据库请求日志有时候能帮助调查人员判断哪些数据被接入了。
测试日志的有用性
不是所有的日志都是被“平等”地创建的,因此最好检查一下这些日志到底有什么用——特别是在企业真正需要使用这些日志之前。
“战争游戏可以帮助企业知道企业的日志文件到底有什么用,以及日志缺口在哪。”Baker表示,“一次常见或者目标驱动的网络攻击模拟可以帮助企业决定哪些数据对了解事件全局以及进行根因分析是至关重要的。”
知道其他组织认为有用的日志消息也是一个不错的方式。谷歌云的Chuvakin提到,他最喜欢的日志类型是服务器/端点、VPN/远程接入、多种安全工具(IDS/IPS、杀毒软件)、以及云端(通过CAS认证协议的SaaS、IaaS)日志。
敬业消除
要管理的日志数量的增加速度丝毫没有下降的趋势,但是也不应该为了存储更多日志而过快删除之前的日志。
Infosec Institute的信息安全作者Keatron Evans认为:“即使有一个强大的SIEM工具,日志管理依然会很艰难。另外,这些日志也并非总是被保存好。日志的巨大数量意味着它们通常需要被消除,为新的日志腾出空间。存储能力对企业日志管理而言是一个主要挑战。”
尽管说日志只是安全架构和计划中的一部分,但是对于犯罪调查来说却非常重要。
“关键是要在网络攻击发生前形成有效的响应策略,任何的日志如果一开始没有被配置好,都是无法检测到事件的。”Baker提到。
不要做过度
提前准备往往能省下不少时间,这意味着提前管理好日志。但是注意:过度准备也会产生大量不必要的成本。
“记录所有东西很简单,但是如果不基于自己的需求仔细处理,最后反而会增加自己的风险,而不是减少风险。”AlixPartners的Madura表示。
未加密的PII、用户数据、口令等其他敏感信息会因为采集所有记录的信息而被意外收集,产生额外风险。
但即使如此,也不代表日志做得少就更好。佛洛里达国际大学的讲师Matt Ruddell强调:“虽然说海量的数据看上去很可怕,优秀的犯罪调查人员应该有足够强大的软硬件处理这些日志。不过,这也确实会成为一个问题,因为数字犯罪的调查人员总是为了能让自己的设备和成本跟上时代而在努力争取足够的预算。”
来源:数世咨询
上一篇:黑客组织“匿名者”瞄准马斯克