以安全产品形态出现的审计系统有多种多样,如日志审计、行为审计、业务审计等等,不同的审计系统所覆盖和面向的对象各不相同,并且安全产品服务提供商以及使用者对于审计系统的定位也有所差异。
随着网络安全技术的不断发展革新,统一化管理的趋势越发明显,在审计领域,也出现了综合审计管理平台(将各类审计信息统一汇总进行分析的综合平台)这一大型化,综合化的高级管理系统。
在这种分级部署的整体审计系统方案中,其成败关键取决于大平台的开发,性能,日志量级以及问题分析的深度和细粒度。而以底层探针出现的各类审计系统,其技术是否先进,往往影响着上层平台的性能和兼容性,因此本文重点讨论底层探针“行为审计系统”的几个重要的核心功能,由此我们也可窥探到上层平台所应关注的重点功能以及其可复制和移植性。
什么是行为审计系统?首先应明确的是这个问题。本文中所定义的“行为审计系统”主要作用是:
(1)通过部署该系统,全天候实时监控并记录所有网络中的操作行为,如网页浏览、邮件收发、即时通讯、论坛、微博、搜索引擎、炒股、购物、音视频等。
(2)主要适用范围是机构办公网或局域网,并不是核心生产网或业务网。
(3)通过行为审计系统,可以帮助机构规范管理员工在日常工作中的网络行为,提高工作效率,并在出现违背机构上网管理规定,甚至违反行业及国家相关法律法规时,进行备查。
下面将重点谈谈行为审计系统的几个重要功能:
监控外发信息
抛开各家产品功能实现的好与坏,如果说哪个功能点是用户确实想真正用起来,而不是为了花钱或出于别的目的而购买设备的话,那“监控外发信息”绝对是首选。
原因很简单,终端太多了,大家的行为是不可预测的,一旦有损坏机构经济利益或社会声誉的敏感言论在互联网上传播开来,对于该机构将产生重大影响,且往往该类事件蔓延速度很快,后续负面效应极大,因此定位发生在局域网内部的这类“违规外发信息”是管理者最看重的方面,一旦出现此类事件,监管单位要求机构给出详细说明时,管理者可拿出证据,证明谁,在什么时候,通过什么方式,利用企业网发出了不良言论到互联网上,发出去的内容是什么,是否与事件本身相一致,而最终的目的是:减免管理者自身的责任风险。
审计与免审计
目的,都是为了不断深化产品的审计功能,希望能为用户提供更全面、更细粒度的分析结果,让用户能参考的数据更加丰富,但恰恰是这一发展趋势,导致很多厂家和产品忽略了另一方面,即“免审计”
也许有些人认为“安全审计”产品的功能就是“审计”,如果“免审计”,将失去其本身的意义和价值,或者是产品功能不完善,但如果充分与用户沟通就不难发现,“审计与免审计”是一个重要功能。比较有效的办法是通过免审计KEY的方式来实现,总的来说就是不管PC的地址、账号、上网位置都是什么,只需在该PC上插入免审计KEY,透明安装插件程序,并在审计系统中导入该KEY的ID,即可实现免审计功能,且审计与免审计可灵活选择和切换。免审计功能的妙用在于,对于某些在系统监控范围内的白名单用户,可自动转为例外用户,且对于部门和机构领导来说,日常工作中会经手一些敏感核心文件,免审计也能做到防止二次泄密。
用户实名
实名制,是安全审计产品的重要功能,如果日志结果不能定位到真实个体,而是一个虚假的或者经过转换后的身份,则无法帮助用户。
每个人上网的时候,除了有MAC地址和IP地址以外,还有很多虚拟身份,如认证系统的权限口令,即时通讯的昵称和账号,邮件收发的账号,某知名论坛的访问账号,某购物网站的登录账号,计费网关的账号,手机号,身份证号,宾馆房间号等等。当IP地址不能定位到某个真实上网人员的身份时,系统自动将抓取到的各类虚拟身份信息与其网络行为进行关联,由此可以在发生安全事件时,透过其他能唯一标识该人员身份的要素,对其进行精确定位。
快速查询
聪明的用户会在购买产品前,重视对此功能的测试,因为旁路审计产品在日常工作中不会经常用到。
有可能半年或一年都没人去管,但一旦安全事件发生的时候,领导或管理员则会立刻想到“我们不是买了xxx厂家的行为审计系统了吗。。。”,而这时定位安全事件的时候,不可能在海量的日志中一页一页去查找,而是输入某用户、某关键字、某时间等条件,快速查找日志,此时就是考验审计产品实用性的时候了,如果半个小时之后系统还提示“正在查找。。。”,那可以判断该行为审计系统并没有发挥其应有的作用。
编辑:刘帅 校稿:张龙飞 王宁 审阅:徐特
绿盟科技微信公众号: NSFOCUS-weixin
绿盟安全管家APP:
全网最新安全资讯,让您一手掌握,并能随时随地查看绿盟安全设备运行状态,给您带来最好的服务体验。想要了解更多,快来扫描二维码下载吧!
点击“阅读原文”阅读绿盟科技金融事业部安全月刊。
原文始发于微信公众号(绿盟科技金融事业部):浅谈行为审计系统的核心价值
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论