日志是溯源取證的核心。但是,日志只有被完整地收集、長時間地儲存,并包含所有調查需要的信息,同時不被惡意人員提前獲取的情況下,才有價值——這才是重中之重。
谷歌云的首席安全解決策略專家Anton Chuvakin博士表示:“企業如何能夠減少攻擊者隱藏他們行蹤,甚至破壞日志文件的行為?答案很明顯:用一個日志管理工具中心化管理日志。不管是2021年,2011年,2001年,甚至可能1991年,都不會變。”
但是,所有安全專家都知道,1991年日志管理的情況遠遠沒有現在的復雜、龐大。日志管理需要不出差錯地記錄數據事件——而現代業務有著海量的數據。
這樣一來,管理不計其數的日志就成了日常難題;需要滿足越來越多的法律法規進一步提升了復雜度——比如HIPPA要求日志保留至少六年,而SOX要求七年,Basel II Accord則要求三到七年。
因此,日志管理需要做得合理、正確,并且精確,不能做得過多,也不能做得太少——要恰到好處,以一種能夠完全幫助溯源取證的方式進行,甚至當罪犯刻意隱藏自己行為的時候都能實現追蹤。
一些專家在Dark Reading上分享了九條和日志管理相關的實踐建議。
將日志從原本的設備和系統中剝離出來
犯罪分子總是針對特定的系統和設備,并將他們的相關操作日志移除,以掩蓋自己的行蹤。如果通過工具將日志從設備和系統中導出,并存儲在一個分開、安全的位置,就能夠確保好人依然能夠看到壞人的所作所為。
全球法律公司Hogan Lovells的高級審計員Nathan Salminen認為:“考慮一下,把日志從創建他們的系統和設備中移除。可以用SIEM工具,或者一個簡單的日志集合工具,將整個企業中的日志采集并存放在一個能夠被好好保護好的地方。這樣,即使一個威脅因子成功毀壞,或者編輯了目標系統上日志,相關信息依然能夠被保存。”
Salminen同樣還是OSCP,他還提醒到,有許多組織已經有這樣的工具了,但是有一部分企業依然沒有使用這些工具實行相關操作。
除此以外,Salminen表示,他見到的最多的問題是“組織從來不記錄事件,或者不將日志保存足夠長到判斷攻擊者是否有成功攻擊系統的時間。”
在不同位置記錄日志
全球資訊公司Alix Partners的SVP,Kevin Madura則認為,企業應該在成本和算力的限制下,盡可能有“更多冗余的日志點”,包括應用、應用服務器、網站服務器、負載均衡器、以及如防火墻、交換機、路由器和終端之類的網絡設備。“
在網絡的不同位置進行日志記錄非常關鍵。這樣能幫助調查人員理解攻擊者如何潛入,以及他們在網絡中的行蹤,還有他們在初始入侵之后的意圖。”他提到,“這也能幫助發現哪些系統和數據可能在攻擊中淪陷,然后決定是否有其他系統應該進行犯罪調查。”
通過云端防護
將日志遷移到云端還能讓犯罪份子的工作更加復雜。
Cato Networks的安全主任Elad Menahem提出:“保護日志系統的第一緩解方式,考慮用基于云的日志解決方案。將日志服務器到云端會讓攻擊者攻擊兩個網絡,而不是一個。同時,云服務商會比普通的企業在安全方面投入更多成本。”
但無論是自己保護日志系統,還是在云端,日志備份總是一個好主意——因為攻擊者不總是破壞日志,有時候他們會修改日志,或者通過活動過載等各種方式污染日志內容。
在犯罪數據中加入儲存媒介的圖片
一圖往往勝千語——尤其是當圖片能把握到一些日志之外,卻和事件相關的信息的時候。“
許多犯罪調查是通過瀏覽存儲媒介的圖片,而非瀏覽日志解決的。不時對虛擬機截屏并且保存相關圖片,能對攻擊者的行為帶來非常有價值的情報。”全球法律公司Hogan Lovells的合伙人Peter Marta如是說到,他同時也是前摩根大通銀行的全球網絡安全法律負責人,“歷史截屏往往比事件后系統的截圖更有價值,因為事件后的截圖往往會被加密或者掩蓋。”
另一方面,備份也并非是在攻擊中的萬靈藥,因為備份“往往只存儲數據分區,極少會儲存未分配分區的數據——而這些數據往往對識別已刪除文件至關重要。”
不要太快下線受攻擊系統
幾乎每個人都想著在發現攻擊的時候最快下線他們的系統。
而事實上,Marta認為:“雖然這種行為可以理解,但是這么做會錯過全面理解系統中在發生什么事件的機會,尤其是當下的惡意軟件在不斷演進到各種變體,甚至不會觸碰到存儲媒介。在下線系統前對內存進行一次快照非常有意義。
”事實上,內存總是攻擊事件中的核心,行為的記錄都會內存中產生。
德勤在網絡和戰略風險的風險與金融咨詢專家Steven Baker建議:“確保安全團隊的每個人都有內存分析的能力。大部分惡意軟件都不會直接對磁盤進行寫入,而是直接在內存中運行,因此如果沒有適當的技能和實踐會很難進行分析。IT團隊中應該有一個穩定的流程,能夠在調查前,從可疑系統中抓取內存信息。如果相關人員調查后沒有發現問題,那就刪除那部分內存繼續下一個調查;如果發現了蛛絲馬跡,就能根據內存進一步分析。”
知道哪些日志文件是有幫助的
盡管根據事件的類型,有幫助的文件類別各不相同,但是有一些共性點總是有價值的。Salminen認為以下幾個都是需要關注的點:
◆接入互聯網系統的IP地址的日志——這些是許多類型事件的調查核心。
◆失敗的認證嘗試可以幫助調查人員識別一般的口令猜測攻擊。
◆文件創建記錄對調查人員而言總是有價值的日志數據。具體來說,識別一個解壓縮文件的創建位置,以及哪些數據被放入解壓縮文件了,往往是判別哪些數據準備被泄露的關鍵步驟。
◆RDP日志以及遠程控制連接日志通常能幫助調查人員描繪出威脅因素在網絡中的移動路線。
◆數據庫請求日志有時候能幫助調查人員判斷哪些數據被接入了。
測試日志的有用性
不是所有的日志都是被“平等”地創建的,因此最好檢查一下這些日志到底有什么用——特別是在企業真正需要使用這些日志之前。“
戰爭游戲可以幫助企業知道企業的日志文件到底有什么用,以及日志缺口在哪。”Baker表示,“一次常見或者目標驅動的網絡攻擊模擬可以幫助企業決定哪些數據對了解事件全局以及進行根因分析是至關重要的。”
知道其他組織認為有用的日志消息也是一個不錯的方式。谷歌云的Chuvakin提到,他最喜歡的日志類型是服務器/端點、遠程接入、多種安全工具(IDS/IPS、殺毒軟件)、以及云端(通過CAS認證協議的SaaS、IaaS)日志。
敬業消除
要管理的日志數量的增加速度絲毫沒有下降的趨勢,但是也不應該為了存儲更多日志而過快刪除之前的日志。
Infosec Institute的信息安全作者Keatron Evans認為:“即使有一個強大的SIEM工具,日志管理依然會很艱難。另外,這些日志也并非總是被保存好。日志的巨大數量意味著它們通常需要被消除,為新的日志騰出空間。存儲能力對企業日志管理而言是一個主要挑戰。”
盡管說日志只是安全架構和計劃中的一部分,但是對于犯罪調查來說卻非常重要。“
關鍵是要在網絡攻擊發生前形成有效的響應策略,任何的日志如果一開始沒有被配置好,都是無法檢測到事件的。”Baker提到。
不要做過度
提前準備往往能省下不少時間,這意味著提前管理好日志。但是注意:過度準備也會產生大量不必要的成本。
“記錄所有東西很簡單,但是如果不基于自己的需求仔細處理,最后反而會增加自己的風險,而不是減少風險。”AlixPartners的Madura表示。
未加密的PII、用戶數據、口令等其他敏感信息會因為采集所有記錄的信息而被意外收集,產生額外風險。
但即使如此,也不代表日志做得少就更好。佛洛里達國際大學的講師Matt Ruddell強調:“雖然說海量的數據看上去很可怕,優秀的犯罪調查人員應該有足夠強大的軟硬件處理這些日志。不過,這也確實會成為一個問題,因為數字犯罪的調查人員總是為了能讓自己的設備和成本跟上時代而在努力爭取足夠的預算。”
