tp5记录用户的操作日志_【干货】日志管理与分析(四)日志管理规程
接《日志管理與分析(三)--對(duì)日志系統(tǒng)的攻擊》,如果你的企業(yè)沒有認(rèn)真地對(duì)待日志,那么就可以說(shuō)明你的企業(yè)對(duì)IT可審核性并不重視,這也就是日志記錄成為一種完善的依從性技術(shù),許多法規(guī)和法律以及最佳實(shí)踐框架都對(duì)此作出強(qiáng)制性要求的原因。日志管理與分析(四)重點(diǎn)在于根據(jù)PCI DSS以及ISO27001標(biāo)準(zhǔn)的日志的管理規(guī)程。
01日志管理規(guī)程
日志記錄和管理的目標(biāo)本質(zhì)上是為你提供環(huán)境中的態(tài)勢(shì)感知(SA),這樣你就可以在網(wǎng)絡(luò)中發(fā)生某些情況時(shí)進(jìn)行評(píng)估、響應(yīng),并在必要時(shí)升級(jí)。SA部分通過(guò)啟用日志數(shù)據(jù)收集、分析和保存來(lái)實(shí)現(xiàn)。
企業(yè)很可能因?yàn)槿缦碌哪承┰蚨鴮?shí)施日志記錄:你想要保護(hù)公司的資產(chǎn)(知識(shí)產(chǎn)權(quán)和財(cái)務(wù)數(shù)據(jù)等)。
你所處行業(yè)(銀行、醫(yī)療、信用卡處理等)要求監(jiān)管依從性,確保你能夠?qū)雇獠亢蛢?nèi)部威脅、數(shù)據(jù)丟失等。
你就是希望記錄所有日志。
下面以支付卡行業(yè)(PCI)數(shù)據(jù)安全標(biāo)準(zhǔn)(DSS)舉個(gè)例子。
PCI DSS是一組技術(shù)和運(yùn)營(yíng)需求,意在保護(hù)信用卡持卡人數(shù)據(jù)免遭違規(guī)使用。商戶、處理設(shè)備、發(fā)卡行和服務(wù)提供商在PCI中都有利害關(guān)系。該標(biāo)準(zhǔn)的終極目標(biāo)是在全球采用這些需求。
1.1假設(shè)、需求和預(yù)防措施
關(guān)鍵項(xiàng)目對(duì)于日志記錄、日志管理和日志審核的成功必不可少。在日志審核、響應(yīng)和升級(jí)規(guī)程投入使用之前,假定如下需求已經(jīng)得到滿足。
1.1.1需求
必須有一組需求,運(yùn)營(yíng)規(guī)程才能有效地使用:1)創(chuàng)建日志記錄策略,以編集PCI DSS日志相關(guān)需求,以及其他監(jiān)管和運(yùn)營(yíng)日志需求。2)在范圍內(nèi)的系統(tǒng)上啟用日志記錄。3)日志記錄的中端和終止本身必須記入日志、接受監(jiān)控。4)記錄PCI DSS文檔規(guī)定的事件。5)生成滿足PCI DSS日志記錄需求的日志。6)范圍內(nèi)的系統(tǒng)時(shí)間和可靠的時(shí)間服務(wù)器(NTP等)同步。7)所有日志記錄系統(tǒng)的時(shí)區(qū)已知并作記錄,可以和日志一起審核。1.1.2預(yù)防措施
需要采取如下的預(yù)防措施,使日志可以用于PCI DSS依從性、其他法規(guī)和安全、取證及運(yùn)營(yíng)需求:
關(guān)鍵預(yù)防措施:在特定系統(tǒng)上記錄其操作的個(gè)人不能作為負(fù)責(zé)該系統(tǒng)日志審核的唯一當(dāng)事人。
關(guān)鍵預(yù)防措施:PCI DSS強(qiáng)制實(shí)施日志安全措施,對(duì)日志的所有訪問(wèn)應(yīng)該記錄和監(jiān)控,識(shí)別終止或者影響日志存在和質(zhì)量的企圖。
這些預(yù)防措施的主要思路是確保系統(tǒng)完整性。本質(zhì)上,沒有一個(gè)人應(yīng)該擁有能夠掩蓋自己或者其他人蹤跡的控制權(quán)。
1.2常見角色和職責(zé)
常見角色和職責(zé)總結(jié)
| 角色 | 職責(zé) | 涉及工作示例 |
| 應(yīng)用系統(tǒng)管理員 | 管理應(yīng)用程序 | 配置應(yīng)用程序日志記錄設(shè)置,可能進(jìn)行日常日志審核 |
| 系統(tǒng)或者網(wǎng)絡(luò)管理員 | 管理底層操作系統(tǒng)或者網(wǎng)絡(luò) | 配置應(yīng)用程序日志記錄設(shè)置,可能進(jìn)行日常日志審核 |
| 應(yīng)用程序業(yè)務(wù)負(fù)責(zé)人 | 負(fù)責(zé)應(yīng)用程序的業(yè)務(wù)經(jīng)理 | 批準(zhǔn)日志記錄和日志審核所需的應(yīng)用程序配置更改 |
| 安全管理員 | 管理一個(gè)或者多個(gè)系統(tǒng)/應(yīng)用程序的安全控制 | 配置安全和日志記錄設(shè)置,進(jìn)行日常日志審核 |
| 安全分析人員 | 處理運(yùn)營(yíng)安全性過(guò)程 | 訪問(wèn)安全系統(tǒng)并分析日志和其他數(shù)據(jù) |
| 安全主管或者經(jīng)理 | 監(jiān)督安全策略、過(guò)程和運(yùn)營(yíng) | 負(fù)責(zé)日志審核規(guī)程、更新規(guī)程 |
| 事故響應(yīng)人員 | 參與安全事故響應(yīng) | 處理安全事故,在響應(yīng)過(guò)程中審核日志 |
1.3PCI和日志數(shù)據(jù)
PCI DSS對(duì)于日志記錄和監(jiān)控的強(qiáng)制關(guān)鍵領(lǐng)域是需求10和需求11的各個(gè)部分。為了達(dá)到依從性,你必須實(shí)現(xiàn)需求;它是必要的條件。在PCI DSS文檔中,需求10陳述“跟蹤和監(jiān)控對(duì)網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的所有訪問(wèn)”。需求11陳述“定期測(cè)試安全系統(tǒng)和過(guò)程”。需求12陳述“維護(hù)一個(gè)處理所有個(gè)人信息安全的策略”。1.3.1關(guān)鍵需求
10.1需求10.1涵蓋的是“建立一個(gè)過(guò)程,將對(duì)系統(tǒng)組件的所有訪問(wèn)(特別是使用根用戶等管理權(quán)限完成的訪問(wèn))與每個(gè)單獨(dú)用戶聯(lián)系起來(lái)。”這確實(shí)是一個(gè)而有趣的需求;它不僅強(qiáng)制日志的存在或者建立日志記錄過(guò)程,還提到日志必須與個(gè)人綁定(不是計(jì)算機(jī)或者生成日志的“設(shè)備”)。這個(gè)需求常常給PCI實(shí)施者造成問(wèn)題,因?yàn)樵S多人認(rèn)為日志是“人的操作記錄”,而現(xiàn)實(shí)中他們只擁有“計(jì)算機(jī)的操作記錄”。將后者映射到實(shí)際用戶往往帶來(lái)額外的挑戰(zhàn)。順便說(shuō)一句,PCI DSS需求8.1強(qiáng)制企業(yè)“在允許用戶訪問(wèn)系統(tǒng)組件或者持卡人數(shù)據(jù)之前,要為他們分配唯一的ID”,這一條目使日志在此更加有用。10.210.2定義了需要記錄的系統(tǒng)事件的最小列表,這些需求的動(dòng)機(jī)是為了評(píng)估和監(jiān)控用戶操作,以及可能影響信用卡數(shù)據(jù)的其他事件。下面是PCI DSS需求中的列表:10.2.1 訪問(wèn)持卡人數(shù)據(jù)的所有單獨(dú)用戶。
10.2.2 具有根或者管理權(quán)限的任何個(gè)人進(jìn)行的所有操作。
10.2.3 對(duì)所有審計(jì)跟蹤的訪問(wèn)。
10.2.4 無(wú)效的邏輯訪問(wèn)企圖。
10.2.5 標(biāo)識(shí)和身份認(rèn)證機(jī)制的使用。
10.2.6 審計(jì)日志初始化。
10.2.7 系統(tǒng)級(jí)對(duì)象的創(chuàng)建和刪除。
10.3.1 用戶標(biāo)識(shí)。
10.3.2 事件類型。
10.3.3 日期和時(shí)間。
10.3.4 成功或者失敗的指示。
10.3.5 事件來(lái)源
10.3.6 受影響的數(shù)據(jù)、系統(tǒng)組件或者資源的標(biāo)識(shí)或者名稱。
10.5.1:PCI DSS的10.5.1介紹了機(jī)密性:“將對(duì)審計(jì)跟蹤的查看限制在與工作相關(guān)的需求上”。這意味著,只有必須查看日志才能完成工作的人才能夠查看日志,原因之一是和身份認(rèn)證相關(guān)的日志總是包含用戶名。雖然不是真正的秘密,但是用戶名稱信息提供了密碼猜測(cè)所需的50%信息。而且,因?yàn)橛脩翦e(cuò)誤輸入證書,而在日志中顯示密碼的情況并不少見。編寫質(zhì)量低劣的web應(yīng)用程序可能造成密碼和web統(tǒng)一資源定位符(URL)一起記錄在web服務(wù)器日志中。
10.5.2:接下來(lái)是“完整性”,根據(jù)PCI DSS的10.5.2,必須“保護(hù)審計(jì)跟蹤文件免遭未授權(quán)修改”。這是顯而易見的,因?yàn)槿绻罩颈晃词跈?quán)方修改,它們就不再是系統(tǒng)和用戶活動(dòng)的客觀評(píng)估個(gè)弄臟。
但是人們不僅必須保留來(lái)自惡意用戶的日志,還應(yīng)該保留系統(tǒng)故障和系統(tǒng)配置錯(cuò)誤結(jié)果的日志。這涉及日志數(shù)據(jù)的“可用性”和“完整性”。PCI DSS 10.5.3明確指出,必須“立即將審計(jì)跟蹤文件備份到集中日志服務(wù)器或者難以修改的媒介”。確實(shí),將日志集中到一個(gè)或者一組用于日志分析的服務(wù)器,對(duì)于日志保護(hù)和增加日志實(shí)用性都是不可或缺的,將日志備份到CD或者DVD(或者磁帶)是這一需求的另一種結(jié)果。人們應(yīng)該始終記住,磁帶上的日志不容易訪問(wèn),在出現(xiàn)事故時(shí)也無(wú)法搜索。
許多網(wǎng)絡(luò)基礎(chǔ)設(shè)施(如路由器和交換機(jī))被設(shè)計(jì)為將日志放到外部服務(wù)器,在設(shè)備自身上只保留極少量(或者沒有)日志。因此,對(duì)于這些系統(tǒng)來(lái)說(shuō),集中化的日志最為重要。PCIDSS的需求10.5.4說(shuō)明了這種需求,“將無(wú)線網(wǎng)絡(luò)的日志復(fù)制到內(nèi)部LAN上的日志服務(wù)器中”。
為了進(jìn)一步降低日志修改的風(fēng)險(xiǎn),并證明這樣的修改沒有發(fā)生,需求10.5.5要求“在日志上使用文件完整性監(jiān)控和變更檢測(cè)軟件,確保現(xiàn)存日志數(shù)據(jù)不能在沒有警告的情況下更改”。與此同時(shí),在日志文件中添加新的日志數(shù)據(jù)不應(yīng)該生成警報(bào),因?yàn)槿罩疚募粩嘣鲩L(zhǎng),不會(huì)自己壓縮。文件完整性監(jiān)控系統(tǒng)使用加密哈希算法,將文件和一個(gè)已知的正確副本比較。問(wèn)題是,日志文件因?yàn)樾录o(jì)錄的添加而不斷增長(zhǎng),從而導(dǎo)致完整性檢查的削弱。為了解決這一矛盾,應(yīng)該注意完整性監(jiān)控只能保證沒有被日志記錄組件不斷寫入的日志的完整性。
10.6許多PCI DSS實(shí)施者忘記了,PCI需求10不僅要求“有日志”,還要求“有日志,并且查看它們”,10.6明確指出PCI組織應(yīng)該按照PCI DSS,“至少每天一次審核所有系統(tǒng)組件的日志。日志審核必須至少包含執(zhí)行IDS和AAA服務(wù)器等安全功能的服務(wù)器”。
因此,PCI DSS需求還覆蓋了需要“每天審核”的日志源范圍,而不僅是需要配置日志、保留或者集中化日志。考慮到大型IT環(huán)境每天可能生成以GB計(jì)算的日志,人工閱讀所有日志是不可能的。因此,PCI DSS在這個(gè)需求上有個(gè)注釋:“可以使用日志收集、解析和警報(bào)工具實(shí)現(xiàn)需求10.6的依從性”
10.7最后一個(gè)需求(10.7)處理另一個(gè)非常重要的日志記錄問(wèn)題--日志保存,它規(guī)定:“保存審計(jì)跟蹤歷史至少一年,保持在線可用性至少三個(gè)月”。和其他無(wú)數(shù)需求不同,這一需求直接處理復(fù)雜的日志保存問(wèn)題。因此,如果你無(wú)法查看1年前的日志,就違反了規(guī)定。而且,PCI DSS在更新后的版本1.1中還明確地增加了一年的需求規(guī)定。總結(jié)一下目前為止學(xué)習(xí)的PCI 日志記錄需求:PCI需求10規(guī)定以預(yù)先定義的細(xì)節(jié)水平記錄來(lái)自范圍內(nèi)所有系統(tǒng)的特定事件。
PCI要求日志中所有操作與實(shí)際用戶掛鉤。
范圍內(nèi)的系統(tǒng)上的時(shí)鐘和時(shí)間應(yīng)該同步。
應(yīng)該保護(hù)所有收集日志的CIA(機(jī)密性、完整性、可用性)。
日志應(yīng)該定期審核:特定的日志應(yīng)該至少一天審核一次。
范圍內(nèi)的所有日志應(yīng)該留存至少一年。
下面更深入的研究日志和監(jiān)控,這些日志和監(jiān)控不僅在需求10中規(guī)定,還出現(xiàn)在所有其他PCI需求中。許多人可能認(rèn)為PCI中的日志都在需求中說(shuō)明,但實(shí)際情況更為復(fù)雜:日志出現(xiàn)和隱藏在所有其他的小節(jié)中。
1.3.2與日志記錄相關(guān)的其他需求
幾乎所有滿足PCI DSS需求的規(guī)定(如數(shù)據(jù)加密或者防病毒更新),都可能使用日志文件來(lái)證明。
例如,需求1“安裝和維護(hù)防火墻配置,以保護(hù)持卡人數(shù)據(jù)”中提到,企業(yè)必須有“批準(zhǔn)和測(cè)試所有外部網(wǎng)絡(luò)連接以及防火墻配置變更的正式過(guò)程”。但是,在建立這種過(guò)程之后,人們必須驗(yàn)證防火墻配置變更確實(shí)得到授權(quán),并且按照書面的變更管理規(guī)程進(jìn)行。這時(shí)日志記錄變得極其方便,因?yàn)樗f(shuō)明了實(shí)際發(fā)生的情況,而不是“應(yīng)該發(fā)生”的情況。
需求1.3包含防火墻配置的指導(dǎo)原則,有關(guān)于入站和出站連接性的具體陳述。必須使用防火墻日志來(lái)驗(yàn)證這些配置,僅僅審核配置還不夠,因?yàn)橹挥腥罩静拍苷f(shuō)明“實(shí)際發(fā)生了什么”而不是“如何配置”。
類似地,需求2討論密碼管理“最佳實(shí)踐”和一般的安全加固,例如不運(yùn)行沒有必要的服務(wù)。日志可以說(shuō)明何時(shí)啟動(dòng)了之前禁用的服務(wù),這可能是不知情的系統(tǒng)管理員或者攻擊者的操作造成的。
需求3更進(jìn)一步,處理數(shù)據(jù)加密,這和日志記錄有著直接而明確的聯(lián)系。例如,3.6小節(jié)隱含了一個(gè)要求:擁有驗(yàn)證這些活動(dòng)是否真正進(jìn)行的日志。確切的說(shuō),大部分加密系統(tǒng)記錄秘鑰生成、分發(fā)和廢止的日志,這些日志對(duì)于滿足上述需求是至關(guān)重要的。
需求4處理的也是加密,由于同樣的原因,和日志記錄也有隱含的聯(lián)系。
需求5針對(duì)病毒防御。當(dāng)然,為了滿足5.2小節(jié)的需求--“確保所有防病毒機(jī)制更新、活躍地運(yùn)行,并且能夠生成審計(jì)日志”必修查看所提到的這些日志。
所以,即使是“使用和定期更新防病毒軟件”也可以在評(píng)估期間需要請(qǐng)求日志數(shù)據(jù),因?yàn)檫@些信息由防病毒評(píng)估日志提供。著名的“防病毒更新失敗”問(wèn)題也在日志中反映,它說(shuō)明公司正處于惡意軟件的威脅之下,因?yàn)闆]有更新最新特征碼的防病毒軟件只能造成虛假的安全感,損害依從性工作。
需求6頁(yè)處于同一范疇:它要求組織“開發(fā)和維護(hù)安全的系統(tǒng)和應(yīng)用程序”,沒有強(qiáng)大的評(píng)估日志記錄功能和應(yīng)用程序安全監(jiān)控,這是無(wú)法想象的。
需求7規(guī)定“根據(jù)業(yè)務(wù)按需了解的原則限制對(duì)持卡人數(shù)據(jù)的訪問(wèn)”,需要日志來(lái)驗(yàn)證誰(shuí)能夠訪問(wèn)文中所指的數(shù)據(jù)。如果不應(yīng)該看到數(shù)據(jù)的用戶出現(xiàn)在訪問(wèn)數(shù)據(jù)的日志文件中,就需要采取糾正措施。
為每個(gè)訪問(wèn)系統(tǒng)的用戶分配一個(gè)唯一的ID符合其他安全“最佳實(shí)踐”。在PCI中,這不僅是一個(gè)“最佳實(shí)踐”,還是一個(gè)需求。顯然,人們必須“控制用戶ID、證書和其他標(biāo)識(shí)符對(duì)象的添加、刪除和修改”。大部分系統(tǒng)記錄這些活動(dòng)的日志。
除此之外,8.5.9小節(jié)“每90天至少更改用戶密碼一次”也可以通過(guò)審核服務(wù)器日志來(lái)驗(yàn)證,以便確保所有賬戶在90 天內(nèi)至少修改一次密碼。
需求9介紹了安全的一個(gè)新領(lǐng)域--物理訪問(wèn)控制,甚至連包含來(lái)訪者日志維護(hù)的9.4小節(jié)也和日志管理有關(guān),對(duì)于這類日志有單獨(dú)的數(shù)據(jù)保存需求:“使用訪問(wèn)者日志維護(hù)訪問(wèn)者活動(dòng)的物理評(píng)估跟蹤,保存這些日志至少3個(gè)月,除非法律有其他限制”
需求11說(shuō)明掃描范圍內(nèi)系統(tǒng)漏洞的必要性。但是,在11.4小節(jié)中要求使用IDS或者IPS:“使用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、基于主機(jī)的入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng),監(jiān)控所有網(wǎng)絡(luò)流量,并向有關(guān)人員發(fā)出可疑入侵的警報(bào)。保持所有入侵檢測(cè)和預(yù)防引擎最新”。入侵檢測(cè)只在審核日志和警報(bào)時(shí)才有用。
需求12涵蓋了更高級(jí)的問(wèn)題--安全策略、安全標(biāo)準(zhǔn)和日常運(yùn)營(yíng)規(guī)程(例如,需求10中強(qiáng)制的每日日志審核規(guī)程應(yīng)該在這里反映)。但是,它也和日志記錄相關(guān),因?yàn)樵u(píng)估日志記錄應(yīng)該是每個(gè)安全策略的一部分。除此之外,事故響應(yīng)需求也和日志記錄相關(guān):“建立、記錄和發(fā)布安全事故響應(yīng)和升級(jí)規(guī)程,確保及時(shí)和有效地處理所有情況”,如果沒有高效的日志數(shù)據(jù)收集和及時(shí)審核,上述要求難以想象。
因此PCI DSS中的事件日志記錄和安全監(jiān)控遠(yuǎn)不止需求10。只有通過(guò)精心的數(shù)據(jù)收集和分析,才能滿足PCI的廣泛需求。1.4日志記錄策略
根據(jù)PCI DSS需求,源于PCI的日志記錄策略至少必須包含如下內(nèi)容:足夠的日志記錄,包括日志事件類型(登錄/注銷、資源訪問(wèn)、防火墻接受/拒絕、IPS/IDS警報(bào)等)和細(xì)節(jié)。
日志聚合和留存(1年)。
日志保護(hù)(確保日志不被篡改)。
日志審核
日志記錄策略定義應(yīng)該捕獲日志數(shù)據(jù)的哪些屬性供以后審核、升級(jí)和響應(yīng)。同樣,本章中使用PCI DSS的概念,但是這個(gè)策略是通用的,可以應(yīng)用于非PCI活動(dòng)、應(yīng)用程序等場(chǎng)合。
現(xiàn)在,我們將重點(diǎn)放在日志審核上。PCI DSS指出:“至少每天一次審核所有系統(tǒng)組件的日志。日志審核必須包含執(zhí)行入侵檢測(cè)系統(tǒng)(IDS)和身份認(rèn)證、授權(quán)等安全功能的服務(wù)器,以及計(jì)費(fèi)協(xié)議服務(wù)器”然后,它又增加了這一條:“可以使用日志收集、解析和報(bào)警工具滿足需求10.6的依從性”。PCI日志審核測(cè)試和驗(yàn)證規(guī)程強(qiáng)制,合格安全評(píng)審員(QSA)應(yīng)該“獲得和檢查安全策略及規(guī)程,驗(yàn)證他們包含每天至少一次審核安全日志的規(guī)程,并且要求對(duì)異常情況進(jìn)行后續(xù)調(diào)查”。QSA還必須確定“通過(guò)觀察和面談,驗(yàn)證所有系統(tǒng)組件都進(jìn)行了定期日志審核”。
最后,在下一個(gè)小節(jié),我們討論日志審核規(guī)程的應(yīng)用和工作流程,包括:
日志審核方法、模式和任務(wù)。
異常調(diào)查和分析。
規(guī)程和管理報(bào)告的驗(yàn)證。
這些規(guī)程可以使用自動(dòng)化的日志管理工具,當(dāng)這些工具不可用或者不兼容應(yīng)用程序生成的日志格式時(shí),也可以人工進(jìn)行。
1.5審核、響應(yīng)、升級(jí)規(guī)程
日志管理的定期審核規(guī)程,這種審核由應(yīng)用管理員或者安全管理員進(jìn)行,可以使用自動(dòng)化工具,如果這些自動(dòng)化工具不可用或者不支持PCI應(yīng)用程序中的日志類型,則人工進(jìn)行。
PCI DSS定期日志審核的基本原則是實(shí)現(xiàn)如下目標(biāo):
確定持卡人數(shù)據(jù)沒有遭到攻擊者的入侵。
盡早檢測(cè)出持卡人數(shù)據(jù)的可能風(fēng)險(xiǎn)。
滿足PCI DSS日志審核的明確需求。
確保處理持卡人數(shù)據(jù)的系統(tǒng)安全有效地運(yùn)行。
協(xié)調(diào)日志中觀察到的與其他系統(tǒng)和活動(dòng)之間所有可能被的異常情況(例如應(yīng)用程序代碼變化或者補(bǔ)丁部署)。
1.5.1用日志管理工具構(gòu)建一個(gè)初始基線
執(zhí)行如下步驟,用日志管理工具構(gòu)建一個(gè)基線:
1)確保日志管理工具收集PCI應(yīng)用程序中的相關(guān)日志。2)確定工具能夠“理解”消息,并標(biāo)識(shí)每個(gè)日志的“事件ID”或者消息類型。3)為初始基線選擇一個(gè)事件周期:“90天”,或者在日志收集不到90天時(shí)“全時(shí)”。4)運(yùn)行一個(gè)報(bào)告,顯示每個(gè)消息類型的計(jì)數(shù)。這個(gè)報(bào)告指出系統(tǒng)運(yùn)營(yíng)90天內(nèi)遇到的所有日志類型。5)如果沒有發(fā)現(xiàn)任何卡數(shù)據(jù)泄露,我們可以接受如上報(bào)告,作為“例行運(yùn)營(yíng)”基線。6)創(chuàng)建基線的同時(shí)應(yīng)該執(zhí)行一個(gè)附加步驟:即使我們斷定卡數(shù)據(jù)沒有遭到入侵,在90天內(nèi)記錄的某些日志消息也可能觸發(fā)某種行動(dòng)或者補(bǔ)救措施。這樣的消息成為“已知錯(cuò)誤”,應(yīng)該標(biāo)記出來(lái)。1.5.2人工構(gòu)建初始基線
在日志不兼容可用工具或者可用工具不能很好地理解日志數(shù)據(jù)時(shí),必須在不使用日志管理工具的情況下人工構(gòu)建基線。為此,執(zhí)行如下步驟:
1)確保來(lái)自PCI應(yīng)用程序的相關(guān)日志保存在某個(gè)位置。2)為初始基線選擇一個(gè)時(shí)間周期:“90天”或者在日志收集不到90天時(shí)“全時(shí)”;檢查最早的日志時(shí)間戳確定這一點(diǎn)。3)從最舊的日志條目開始審核,直到最新的條目,嘗試識(shí)別它們的類型。4)人工創(chuàng)建所有觀測(cè)類型的摘要;如果現(xiàn)實(shí)的話,收集每條消息出現(xiàn)的次數(shù)。5)如果沒有發(fā)現(xiàn)任何卡數(shù)據(jù)泄露,我們可以接受如上報(bào)告,作為“例行運(yùn)營(yíng)”基線。6)創(chuàng)建基線的同時(shí)應(yīng)該執(zhí)行一個(gè)附加步驟:即使我們斷定卡數(shù)據(jù)沒有遭到入侵,在90天內(nèi)記錄的某些日志消息也可能觸發(fā)某種行動(dòng)或者補(bǔ)救措施。這樣的消息被稱為“已知錯(cuò)誤”,應(yīng)該標(biāo)記出來(lái)。
確定“已知錯(cuò)誤”消息的原則:1)在不尋常的時(shí)間發(fā)生的登錄和其他“授權(quán)訪問(wèn)”日志消息。2)發(fā)生在更改窗口之外的證書和權(quán)限修改日志消息。3)到期的用戶賬戶生成的任何日志消息。4)維護(hù)窗口之外的重啟消息。5)在備份窗口之外進(jìn)行的數(shù)據(jù)備份/導(dǎo)出。6)日志數(shù)據(jù)刪除。7)系統(tǒng)或者應(yīng)用程序日志記錄終止。8)系統(tǒng)或者應(yīng)用程序記錄配置的任何變更。9)在過(guò)去觸發(fā)了任何行動(dòng)(系統(tǒng)配置、調(diào)查等等)的日志消息。10)與安全策略違規(guī)明顯相關(guān)的其他日志。構(gòu)建初始基線之后,我們就開始每天審核日志。
1.5.3主要工作流程:每天日志審計(jì)
這是日志審核中非常核心的部分--將最后一天產(chǎn)生的日志與積累的基線想比較。
定期日志審核的頻率
PCI DSS需求10.6明確規(guī)定,“每天至少一次審核所有系統(tǒng)組件的日志”,假定日志審核規(guī)程每天進(jìn)行。下面是日志審核執(zhí)行頻率低于每天一次的理由:
應(yīng)用程序或者系統(tǒng)沒有每天生成日志。如果日志記錄沒有每天添加,就沒有必要每天進(jìn)行日志審核。
日志審核使用以批模式收集日志的日志管理系統(tǒng),日志批次到達(dá)頻率低于每天一次。
應(yīng)用程序沒有處理或者存儲(chǔ)信用卡數(shù)據(jù);只因?yàn)橹苯舆B接而被列入范圍。
前所未見的日志類型(新日志消息類型)。
前所未見的日志類型(新日志消息類型)。
比基線中出現(xiàn)頻率更高的日志類型。
比基線中出現(xiàn)頻率更低的日志類型。
前所未見的日志類型(對(duì)于特定用戶)。
前所未見的日志類型(對(duì)于特殊應(yīng)用程序模塊)。
前所未見的日志類型(在周末)。
前所未見的日志類型(在工作日內(nèi))。
遵循高級(jí)方法的同時(shí),日志管理工具也可以使用其他比較算法。
在消息被標(biāo)記為異常之后,我們轉(zhuǎn)入日常工作流的不同階段--從每天審核轉(zhuǎn)向調(diào)查分析。
02日志的依存性日志記錄和通過(guò)日志管理軟件或者其他工具跟蹤此類活動(dòng),是實(shí)現(xiàn)IT可審核性的主要手段,因?yàn)榇蟛糠钟脩艉拖到y(tǒng)操作可能記錄在日志中。實(shí)現(xiàn)組織中的可審核性可能需要許多其他手段,但是日志是遍及各個(gè)IT領(lǐng)域的一個(gè)機(jī)制,甚至延伸到技術(shù)的范圍之外。如果你的IT運(yùn)營(yíng)不可審核,也就意味著你的業(yè)務(wù)無(wú)法審核。
如果你的企業(yè)沒有認(rèn)真地對(duì)待日志,那么就可以說(shuō)明你對(duì)IT可審核性并不重視,這也就是日志記錄成為一種完善的依從性技術(shù),許多法規(guī)和法律以及最佳實(shí)踐框架都對(duì)此作出強(qiáng)制性要求的原因。
總體來(lái)說(shuō),法規(guī)在日志數(shù)據(jù)上有如下的某些或者全部要求,
有充足的日志記錄,各種法規(guī)在“充足”的含義上有顯著的不同。有些法規(guī)只規(guī)定企業(yè)有審計(jì)日志記錄。
集中收集日志,有些法規(guī)要求收集日志并集中存儲(chǔ)和分析。
審核日志數(shù)據(jù),許多法規(guī)中最困難的部分是強(qiáng)制日志審核。例如,PCI DSS要求每天審核來(lái)自范圍內(nèi)系統(tǒng)的日志。很明顯,這并不意味著每個(gè)單獨(dú)的日志條目都必須人工閱讀。
留存日志一段時(shí)間。法規(guī)要求各種不同的日志保存期--從幾個(gè)月到幾年。有些法規(guī)只要求企業(yè)必須有日志保存策略,而沒有規(guī)定具體的數(shù)字。
監(jiān)控安全性。有些法規(guī)規(guī)定了網(wǎng)絡(luò)和WEB警報(bào)的審核,在必要時(shí)可以部署一個(gè)事故響應(yīng)過(guò)程。其他任務(wù)包括日志數(shù)據(jù)保護(hù)、時(shí)間同步等。
“法規(guī)只強(qiáng)制要求擁有日志數(shù)據(jù)”是常見的錯(cuò)誤概念。
下面是幾種流行的法規(guī),看看他們與日志記錄、日志分析和日志管理的相關(guān)性。
2.1 PCI DSS
在2.日志管理規(guī)程中提到了PCI DSS與日志,這里不再做羅列。
總體上,日志記錄和監(jiān)控不只限于需求10,而是遍及PCI DSS的全部12個(gè)需求;在PCI DSS中強(qiáng)制日志記錄和監(jiān)控的關(guān)鍵領(lǐng)域是需求10,和需求11及需求12的一些部分。
2.2 ISO 2700X系列
ISO 27001屬于ISO 27000標(biāo)準(zhǔn)家族。它是由國(guó)際標(biāo)準(zhǔn)化組織(ISO)發(fā)布的一個(gè)信息安全管理系統(tǒng)(ISMS)標(biāo)準(zhǔn),全名為ISO/IEC 27001:2500“信息技術(shù)--安全技術(shù)--信息安全管理系統(tǒng)--需求”。該規(guī)范可以在http://www.27000.org和其他位置找到。
重點(diǎn)放在與日志記錄和監(jiān)控相關(guān)的ISO控制上。集中在“A.10.10監(jiān)控”小節(jié),其目標(biāo)是:“檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)。”這與ISO 27001框架的安全任務(wù)保持一致,強(qiáng)調(diào)安全問(wèn)題的檢測(cè),而非調(diào)查。
ISO A.10.10.1小節(jié)“審計(jì)日志記錄”有如下陳述:“應(yīng)該生成記錄用戶活動(dòng)、異常和信息安全事件的審計(jì)日志,并保存一定的周期,以輔助未來(lái)的調(diào)查和訪問(wèn)控制監(jiān)控。”這規(guī)定要擁有日志,而且在一個(gè)預(yù)算定義的時(shí)間周期(在你的日志保存策略中定義)內(nèi)保存。它還簡(jiǎn)短地強(qiáng)調(diào)了日志中需要記錄的事件類型,遵循本章引言中提到的傳統(tǒng)依從性相關(guān)日志類別。
擴(kuò)展上述定義,并接入A.10.10.4小節(jié)“管理員和操作員日志”(“系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)應(yīng)該記入日志”)和A.10.10.5“故障日志”(“故障應(yīng)該記錄、分析并采取相應(yīng)的行動(dòng)”)中的附加需求,我們可以總結(jié)ISO環(huán)境中所有系統(tǒng)需求記錄的事件類型。
所有這些事件可以提供對(duì)安全事故(如數(shù)據(jù)竊取)有用的初始證據(jù)。
在windows上,這些事件包括了從登陸到策略更改,再到應(yīng)用程序更新及用戶對(duì)數(shù)據(jù)的操縱等廣泛的事件。在網(wǎng)絡(luò)設(shè)備上,將包含安全性和可用性問(wèn)題。
對(duì)于特權(quán)用戶的監(jiān)控(如“系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)”)應(yīng)該加以特別注意。這種日志記錄實(shí)際上是在ISO計(jì)劃指導(dǎo)下創(chuàng)建的最重要的日志,因?yàn)樗鼈兛梢宰鳛槿躀T管理員的關(guān)鍵可審核性手段。但是,為了用于這樣的目的,日志必須通過(guò)日志管理解決方案,脫離這些管理員的控制。
上述幾個(gè)小節(jié)還包含了日志保存和調(diào)查的其他需求。和PCI DSS不同,ISO沒有明確規(guī)定1年的日志保存期,只是提到日志保存,要求有單獨(dú)的策略定義日志保存期。實(shí)際上,保護(hù)安全相關(guān)日志1年是常見的行業(yè)慣例。建議所有企業(yè)在整個(gè)環(huán)境中對(duì)物理和虛擬組件都實(shí)施這樣的日志保存。
還要注意10.10.5小節(jié)中的“采取行動(dòng)”需求。這提示我們不僅要收集日志,還要定義監(jiān)控、調(diào)查和異常跟蹤的策略及規(guī)程。
ISO 27002提供實(shí)踐中實(shí)施ISO系列標(biāo)準(zhǔn)的其他有用細(xì)節(jié)。例如,10.10.1“審計(jì)日志記錄”附件的原則規(guī)定,“特權(quán)的使用”和“系統(tǒng)工具及應(yīng)用程序的使用”必須記入日志。
下一小節(jié)A.10.10.2“監(jiān)控系統(tǒng)使用”中明確強(qiáng)制規(guī)定“應(yīng)該建立監(jiān)控信息處理設(shè)施使用情況的規(guī)程,活動(dòng)監(jiān)控的結(jié)果定期進(jìn)行審核。”這要求一個(gè)日志記錄策略和監(jiān)控的操作規(guī)程。ISO還暗示著這些策略和規(guī)程的持續(xù)審核,例如,對(duì)于ISO項(xiàng)目范圍內(nèi)的系統(tǒng)和應(yīng)用程序,操作規(guī)程必須包含定期或者實(shí)時(shí)日志審核工作流。這種審核由應(yīng)用程序管理員或者安全管理員用自動(dòng)化工具或者人工進(jìn)行(但是由于收集和保存的日志體積,后者在較大的環(huán)境中不可能進(jìn)行)。
ISO 27002建議“單獨(dú)設(shè)施的監(jiān)控級(jí)別應(yīng)該通過(guò)風(fēng)險(xiǎn)評(píng)估確定”,這為安全監(jiān)控活動(dòng)提供了合理的基礎(chǔ),不會(huì)缺乏或者過(guò)度控制。“I/O設(shè)備連接/斷開”明確地成為監(jiān)控目標(biāo)。
總體來(lái)說(shuō),這些關(guān)鍵控制要求創(chuàng)建一個(gè)日志記錄策略,定義日志記錄、日志收集和保存以及審核和分析--還可能有實(shí)時(shí)警報(bào)。
ISO 27001包含了加固日志,使之免遭未授權(quán)修改和查看的主題。A.10.10.3小節(jié)“日志信息保護(hù)”中規(guī)定“日志記錄設(shè)施和日志信息應(yīng)該得到保護(hù),免遭篡改和未授權(quán)訪問(wèn)。”注意日志保護(hù)的兩個(gè)重點(diǎn):訪問(wèn)控制(保持日志機(jī)密性)和完整性保護(hù)(保持日志完整性)。大部分現(xiàn)代日志管理和SIEM系統(tǒng)提供嚴(yán)格的基于角色訪問(wèn)控制,按照“按需了解”的原則,將法定操作權(quán)限在授權(quán)人員上。在此基礎(chǔ)上,系統(tǒng)還采用加密機(jī)制進(jìn)行完整性檢查,檢測(cè)任何可能的日志更改。作為最后手段,日志可以寫入“一次性寫入”媒介(如DVD)或者網(wǎng)絡(luò)備份存檔。雖然沒有明確提及,但是這種控制暗示,惡意的內(nèi)部人員不應(yīng)該能夠使用日志,進(jìn)一步實(shí)現(xiàn)其邪惡的目的--日志安全措施應(yīng)該對(duì)外部攻擊者和惡意(以及不謹(jǐn)慎的)內(nèi)部人員都有效。
除此之外,企業(yè)必須監(jiān)控“日志文件媒體的存儲(chǔ)容量超限,造成記錄事件的失敗或者覆蓋過(guò)去的日志記錄”。這種日志數(shù)據(jù)的意外丟失是不能容忍的。
最后,ISO A.10.10.6小節(jié)“時(shí)鐘同步”規(guī)定“組織或者安全域內(nèi)所有相關(guān)信息處理系統(tǒng)始終應(yīng)該與公認(rèn)的準(zhǔn)確時(shí)間源同步。”
和PCI DSS一樣,日志定時(shí)對(duì)于安全監(jiān)控、取證和故障排除都很重要。確保所有收集和分析的日志有正確的時(shí)間戳,且保持相關(guān)的時(shí)區(qū)信息,是行業(yè)的最佳實(shí)踐。為日志使用NTP或者其他可靠定時(shí)機(jī)制,以便保持事件的正確時(shí)序以及絕對(duì)時(shí)間。
2.3 HIPAA
有兩個(gè)主要的法律來(lái)規(guī)范醫(yī)療行業(yè)的數(shù)據(jù)安全:HIPAA(健康保險(xiǎn)流通責(zé)任法)和HITECH(健康信息技術(shù)對(duì)經(jīng)濟(jì)和臨床健康)。后者是在2009年撰寫的,并作為HIPAA的補(bǔ)充。它增加了對(duì)違規(guī)行為的罰款和處罰。一般來(lái)說(shuō),如果一個(gè)APP符合HIPAA,它也將符合HITECH法規(guī)。
1996年的HIPAA概述了健康信息的相關(guān)安全和隱私標(biāo)準(zhǔn),包括電子和物理信息。該法案的主要使命是“改進(jìn)健康保險(xiǎn)覆蓋團(tuán)體和個(gè)人市場(chǎng)的便利性和持續(xù)性,和健康保險(xiǎn)和保健服務(wù)中的浪費(fèi)、欺詐和違規(guī)使用做斗爭(zhēng)”
特別是,該法的第2條“避免保健欺詐和違規(guī);管理簡(jiǎn)化;醫(yī)療責(zé)任改革”包含安全規(guī)則(2.3節(jié))和隱私規(guī)則(2.1節(jié))
和PCI DSS不同,HIPAA本身沒有涉及安全控制級(jí)別和所采用的技術(shù),這要求HIPAA所影響的組織,也稱為“涵蓋實(shí)體”,遵循法規(guī)的精神和非其文字。還要注意的一點(diǎn)是,接受支付卡的保險(xiǎn)公司和許多醫(yī)院要同時(shí)遵守HIPAA和PCI DSS。可以理解,不同組織中,實(shí)用性的范圍可能不同,因?yàn)橹Ц短幚硐到y(tǒng)不應(yīng)該保存患者的健康信息,反之亦然。然而,考慮符合兩種法規(guī)的技術(shù)和管理控制是謹(jǐn)慎的做法,在短期和長(zhǎng)期來(lái)說(shuō)都能夠節(jié)約金錢。
HIPAA需求廣泛適用于日志記錄、日志審核和安全監(jiān)控:
164.308小節(jié)“登錄監(jiān)控”要求監(jiān)控記錄患者信息的系統(tǒng)的登錄和訪問(wèn)。這一需求適用于失敗和成功的“登錄企圖”。
164.312小節(jié)“審計(jì)控制”廣泛涵蓋了審計(jì)日志記錄和處理敏感健康信息的系統(tǒng)上的其他審計(jì)跟蹤。這條需求隱含了這些審計(jì)日志的審核。
164.308小節(jié)“信息系統(tǒng)活動(dòng)審核”規(guī)定了各種IT活動(dòng)記錄的審核,如日志、系統(tǒng)利用率報(bào)告、事故報(bào)告和其他安全相關(guān)活動(dòng)的指示。
上面需求說(shuō)明,和PCI DSS相比,HIPAA中的日志記錄和監(jiān)控要求本身不能真正地幫助公司回答部署和運(yùn)營(yíng)日志記錄和日志管理時(shí)所需回答的關(guān)鍵問(wèn)題--從技術(shù)和策略/規(guī)程的角度看都是如此。
特別是對(duì)于下面的問(wèn)題都沒有明確的回答:
“審計(jì)控制”應(yīng)該記錄哪些信息?哪些活動(dòng)和事件?每個(gè)活動(dòng)或者事件的哪些細(xì)節(jié)?
日志記錄是否應(yīng)該集中收集
日志應(yīng)該保存多久
應(yīng)該審核哪些特殊“活動(dòng)”?審核的頻率如何?
應(yīng)該如何執(zhí)行安全監(jiān)控和“登錄監(jiān)控”?
如何保護(hù)審計(jì)記錄?
模糊的原則不能幫助企業(yè)積極的進(jìn)行日志記錄和日志審核。除了上述問(wèn)題之外,還有一個(gè)問(wèn)題不清晰:這些控制適用于處理敏感健康數(shù)據(jù)的實(shí)際應(yīng)用,還是適用于底層平臺(tái)?
幸運(yùn)的是,NIST SP800-66中介紹了HIPSS安全規(guī)則實(shí)施的附加細(xì)節(jié)。NIST SP800-66提供了加固受保護(hù)的電子健康信息的詳細(xì)日志管理需求的指南。
NIST SP800-66的4.1小節(jié)描述了信息系統(tǒng)活動(dòng)定期審核的需求,例如審計(jì)日志、信息和系統(tǒng)訪問(wèn)報(bào)告以及安全事故跟蹤報(bào)告。這一小節(jié)提出問(wèn)題而不是提供答案。
4.15小節(jié)試圖提供“審計(jì)控制”的附加指導(dǎo)。雖然力求提供方法和實(shí)施者需要詢問(wèn)的問(wèn)題,如“監(jiān)控哪些活動(dòng)?”和“審計(jì)日志應(yīng)該包含哪些內(nèi)容?”但是這一文檔并沒有真正解決關(guān)鍵的實(shí)施問(wèn)題,換言之,它沒有告訴涵蓋實(shí)體必須怎么做才能實(shí)現(xiàn)依從性。
而且,4.22小節(jié)指出,操作和活動(dòng)文檔必須留存至少6年,并將安全活動(dòng)記錄(如日志)是否被視作“文檔”的討論留給實(shí)施者。
推薦的策略建議,公司從信息安全活動(dòng)審核策略和過(guò)程入手,使用NIST SP800-66中提出的問(wèn)題,人們可以規(guī)劃這些策略的范圍:需求實(shí)用性、記錄的活動(dòng)和記錄細(xì)節(jié)、審核規(guī)程、異常監(jiān)控過(guò)程等。下面的內(nèi)容引自NIST SP800-66:誰(shuí)負(fù)責(zé)總體過(guò)程和結(jié)果?
審核進(jìn)行的頻率多高?
審核結(jié)果分析的頻率多高?
組織對(duì)員工違規(guī)有何約束政策?
審核信息保存在哪里(例如單獨(dú)的服務(wù)器)?
接下來(lái),企業(yè)必須真正地為日志記錄和日志審核實(shí)施上述過(guò)程。這些細(xì)節(jié)可以借鑒對(duì)應(yīng)的PCI DSS原則。
日志記錄和監(jiān)管依從性聯(lián)系緊密,在未來(lái)仍然是如此。盡管日志有很多挑戰(zhàn),但是日志記錄仍然是IT可審核性的主要手段,因?yàn)榇蟛糠钟脩艉拖到y(tǒng)操作可能在日志中記錄。這也就是日志記錄成為完善的依從性技術(shù),被許多法規(guī)和法律所強(qiáng)制的原因。
往期精彩文章:【資訊】程序猿的憤怒?有史以來(lái) GitHub Star 數(shù)上漲最快的一個(gè)項(xiàng)目誕生
【干貨】日志管理與分析(一)——日志收集及來(lái)源
【贈(zèng)書】滲透實(shí)戰(zhàn)指南——《sqlmap從入門到精通》
GitHub回應(yīng)突然斷供:身在美國(guó)不由己,無(wú)權(quán)提前通知預(yù)警
2019年上半年Web應(yīng)用安全報(bào)告
網(wǎng)絡(luò)安全學(xué)習(xí)方法論之體系的重要性
【熱點(diǎn)】安全群炸了!!!《親愛的,熱愛的》竟用三行代碼搞定服務(wù)器攻擊
別不信,垃圾分類,正在曝光你的隱私
關(guān)注脈搏,有更多安全資訊及技術(shù)性文章在等你!
總結(jié)
以上是生活随笔為你收集整理的tp5记录用户的操作日志_【干货】日志管理与分析(四)日志管理规程的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: i.MX6ULL终结者Putty软件的安
- 下一篇: Qt python局域网聊天(二)