高效IT安全管理人員8大日志管理習慣


現今的商業環境中,數據資源是驅動企業向正確方向發展的源泉。例如,零售商需要根據用戶行為數據獲取更多銷售訂單,CEO需要根據企業之前的運作數據做出有效的決策。同樣的,IT安全專家需要根據IT網絡日志數據基礎架構收集到的數據,讓網絡安全遠離威脅、攻擊和破壞。大多數企業的IT基礎架構都會包括網絡設備(路由器、交換機、防火墻等),系統(Windows、Linux等)和收集大量日志數據的關鍵業務應用程序。 日志數據如蘊含黃金的礦廠,對所有安全威脅提供強大的洞察力和安全情報---- 但這僅僅是在日志數據實時監控和分析時有效。高效的日志數據管理可以幫助IT安全管理人員減少復雜的網絡攻擊,識別安全事件的根本原因、監控用戶活動、防止數據泄露,以及最重要的一點,滿足常規安全性要求。但是沒有適當的日志管理策略和流程,IT安全管理人員在確保企業免受攻擊和破壞時,肯定會面臨巨大的挑戰。 下面,我們將介紹高效的IT安全管理人員在管理日志數據時應采用的8種習慣。這些日志管理習慣在本質上是相通的,它可以幫助所有IT安全管理人員利用日志數據的力量有效地保護其網絡安全。


習慣之1 – 使用自動化的用戶日志管理工具 分析日志數據是IT安全管理人員面臨的最大挑戰之一。手動監控和分析日志數據是絕不肯能的,因為日志數據值非常巨大,這個過程很容易發生人為錯誤。因此,IT安全管理人員需要依靠自動化日志管理解決方案,分析由網絡基礎架構產生的巨大數量的日志數據。 使用自動化日志管理工具,IT安全管理人員可以實時獲得安全情報。使用自動化日志管理解決方案,當應用、系統和設備發生異常情況,IT安全管理人員可以實時收到通知。僅僅幾秒,自動日志管理工具可以對用戶行為、網絡異常、系統宕機、違反政策、內部威脅等提供強大的參考。


習慣之2 – 集中收集日志數據 從異構數據源收集日志數據--- Windows,Unix,Linux及其他系統;應用程序、數據庫、路由器、交換機、防火墻等;– 對于IT安全管理人員來說,對日志管理的安全防護是一項艱巨的任務。使用多種日志管理工具收集和分析來自數量眾多的設備、系統和應用程序不同格式的日志,這可不是一家公司高效管理日志的方法。 IT安全管理人員需要配置單個日志管理工具,幫助他們從任何來源解讀任何日志格式。IT安全管理人員應該選擇具有通用日志收集特性的日志管理工具,這個特性使企業能夠從任何來源收集和分析任何格式的日志數據。在集中收集日志數據,使IT安全管理人員能夠全面地查看網絡上發生的所有活動,從而及時地促進有效的安全策略。


習慣之3 – 保持審計狀態-準備就緒的安全報表 每個企業都需要遵守他們自己的內部安全政策或外部監管機構政策,如PCI DSS、SOX、FISMA、ISO27001和HIPAA。當涉及到外部審計時,IT安全管理人員必須集中精力滿足外部機構制定的需求,并確保合規審計人員以最小的工作量完成他們的工作。單憑對合規審計人員的口頭保證遠遠不夠。安全報表必須準備充分,并且用適當的日志數據和使用的日志管理工具來備份報表。


習慣之4 – 執行日志取證調查 所有網絡問題在日志數據中都可以找到答案。所有的攻擊者都會留下痕跡,而你的日志數據是唯一能幫助你識別漏洞的原因,甚至告訴你是誰發起了攻擊。此外,日志數據取證分析報表可以用作法庭證據。手動搜索日志來查找網絡問題的根本原因,或者在事件中發現規律,就像大海撈針一般。 當IT安全管理人員真正找尋問題答案時,得到答案卻十分困難。但是如果有了正確的日志取證策略和工具,他們就能得到所有問題的答案。日志取證工具搜索功能可以幫助管理員進行調查,這樣可以幫助他們快速找到和修復網絡問題和異常行為。日志搜索功能可以讓IT安全管理人員在整個網絡基礎架構中進行搜索。


習慣之 5 – 主動應對安全威脅 為了解除復雜的網絡攻擊,IT安全管理人員必須對網絡基礎架構的日志數據進行實時關聯。日志數據關聯功能可以讓IT安全管理人員在多個日志源同時處理數百萬個事件,以增強網絡安全性,在攻擊或破壞發生之前,主動檢測網絡上的異常事件。實時事件關聯性主動應對威脅。為了防止安全威脅,IT安全管理人員依靠日志相關工具來加速對網絡事件的監控和分析。 有了數據相關性分析工具, IT安全管理人員不需要花幾個小時手動跟蹤可疑的網絡行為。日志數據相關性自動檢測并提供關于漏洞、網絡用戶活動、策略違規、網絡異常、系統停機時間和網絡安全威脅的實時告警。


習慣之 6 – 跟蹤用戶活動 當您最信任的員工和用戶有權限訪問業務關鍵的應用程序、設備、系統和文件時,會有意無意地引發盜取數據、中斷或系統崩潰。IT安全管理人員,必須通過監視日志數據實時跟蹤整個IT基礎架構中的所有用戶活動。日志數據包含關鍵網絡資源上發生的所有活動完整的審計跟蹤。IT安全管理人員需要利用日志數據審計跟蹤來獲得所有用戶的實時活動,找到關于“誰、什么、哪里和如何”的答案。


習慣之 7 – 數據歸檔和保證日志數據安全 日志歸檔是所有企業滿足合規性要求所必須完成的任務。日志歸檔依賴于企業所需遵守的政策和合規性法則。日志歸檔周期根據合規性審計的不同而有所不同。例如,PCI DSS 要求存檔一年,HIPAA 要求存檔七年,而FISMA要求存檔三年。日志歸檔的另一個原因是日志取證調查,如習慣之4中所述。 歸檔日志數據必須保護其不受更改,以保證其真實性。IT安全管理人員應該對日志數據進行加密,并通過哈希算法和時間戳防止日志被篡改,以便將來進行取證分析,合規性或內部審計。


習慣之8 – 持續監控和回顧日志數據 IT安全管理人員應該將監控和回復日志數據作為常規工作。所有上述的七個習慣都是為了實現第八個習慣。日志管理不是保護網絡的一次性工作。為了讓您遠離網絡威脅,它應該是一個持續的過程,在這個過程中,日志數據必須進行實時收集、監控和分析。

結論 大多數企業都由眾多的系統、設備和應用程序組成,每個系統生成的日志數據對于檢測異常行為、威脅、漏洞、安全事件、政策違規、用戶活動等等都是至關重要的。利用日志數據, IT安全管理人員通過主動地網絡威脅防御措施,可以大大地提升企業的整體安全態勢。 IT安全管理人員應該將所有8個日志管理習慣付諸實踐,這樣他們就可以從日志數據中獲取有意義的、可操作的信息和安全情報。
浙江体彩飞鱼开奖结果