【安全讲堂】在日志矩阵中追踪恶意事件
作者:星期五, 一月 9, 20150

任何系统都能收集日志,但大多数安全操作在过滤日志找寻恶意行为证据方面表现欠佳。以下内容能帮您改变现状:

大多数恶意攻击总会在受害者的安全事件日志里留下蛛丝马迹。Verizon 数据泄露调查报告已持续数年对此作出评论。

82%的案例中,受害者都有能力发现数据泄露——只要他们在对数据泄露发生时段的事件相关信息进行监测分析时更耐心细致一点。

 

计算机收集的大量证据也许在《犯罪现场调查》(美剧:CSI)的某集中有用过。现实世界的法庭上,犯罪专家们一直提醒陪审团:CSI里描写的详尽繁复的证据收集在现实生活中根本不可能发生。而在计算机的世界,正好相反:数字证据一直在被收集,只是无人拨冗查看。

当然,现实情况要更复杂些。大部分的事件日志都是无用的噪音干扰,模糊了防护者进行分析的入口点。我本人在事件日志上是“少即是多”的大力倡导者,提倡进行考虑周全的过滤以显著提高日志的价值。当我听说某安全事件日志小组买了PB级磁盘存储他们的事件日志,我就知道他们毫无效率。

更糟的在后面。大多数公司缺乏一个对自己有哪些日志的清醒认识——或者说不知道应该收集哪些日志——更别提知道这些日志都能揭示哪些种类的恶意事件了。

去年一整年,我见识到很多组织创建日志矩阵(通常用电子表格),详细列出公司设备产生的或可以产生的每条日志信息。日志矩阵包含了一张所有计算机设备的清单(有时会记录日志以捕捉物理攻击),除此之外还有工作站、移动设备、服务器、路由器、防火墙、代理服务器、交换机、反恶意软件程序、应用程序日志及其他。这些设备中很多都能产生数十条日志。

就拿微软Windows服务器举个例子吧。大家跟基本Windows事件日志——应用程序日志、安全日志、系统日志——也共事多年了。但从Windows Vista和Windows Server 2008起,Windows事件日志就引入了数十种过滤日志,每种只详细记录某个特定应用程序或进程。例如:应用程序锁、身份验证、BitLocker、蓝牙、代码完整性校验、组策略、NTFS、任务管理器、用户账户控制(UAC)文件虚拟化和Windows错误报告诊断。单个的经过滤的日志是聚焦取证精力的极佳方法。

除了内建(或定制)的Windows事件日志,一台典型的Windows计算机可能还会有几个到几十个其他日志。搜索“*.log”就能明白我的意思了。Web服务器则是有Web服务器日志。如果使用Windows防火墙,事件通常被保存到名为pfirewall.log的文件中。你会找到安装日志、Windows更新日志、补丁日志、诊断日志、VPN日志以及数十个应用程序日志。非Windows计算机也有许多许多许多的日志文件。甚至反恶意软件系统和设备也有数量众多的日志文件。

该怎么处理数量如此庞大的数据呢?先从这两步开始吧:

1. 做个盘点。列出有日志文件的所有设备,它们记录日志的原因,日志文件名称和存放位置,日志格式,可能被记录的事件,日志文件当前大小和容量,以及其他任何可能有用的信息(循环方式、备份方式、保存期等等)。

2. 确定你的日志文件记录的恶意事件类型。在电子表格中创建一个矩阵,高亮显示各日志的强项、空白和弱点。我经常看到有公司用阴影色(如红、黄、绿)快速高亮结论。

尽管你的事件日志矩阵可能长宽不过几十,却能很快令你从中发现自己的机会领域。你可以对事件日志收集过程进行微调,或者购买另外的工具辅助这一过程。不创建这样一个矩阵,你将永远不会注意到你的优势和弱点——至少,不能一眼看穿。

我对这一过程最满意的部分就是发现自身从来没注意到的协同效益。举个例子:我一直敦促我的客户启用应用管控程序在新的非预期的程序或进程执行时产生事件。这样一来,新的恶意程序或进程无论何时被反恶意软件程序发现(通常也就被禁止了),这一侦测结果便能与事件首次出现时相比较了。

两次事件的差别在于恶意事件的真正风险期。我称之为“平均侦测时间”。这一时间被缩减得越短,反恶意软件程序的工作效率就越高,你所承受的风险也就越低(仅此特定场景)。

事件管理想做好并不简单。但少了一个精确的事件日志矩阵,你将无从知晓自己已拥有什么,而哪些又是需要弥补的。来吧,吞下红色药丸,认清真实的矩阵吧!(电影《黑客帝国》中,吃红色药丸选择看到真相,吃蓝色药丸继续浑浑噩噩地生活在假相中。)

作者简介Roger A. Grimes(专栏作家,信息安全专家,拥有超过40项计算机认证,出版过8部计算机安全类书籍)

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章