2019年5月13日下午,国家市场监督管理总局召开新闻发布会,网络安全等级保护2.0(简称等保2.0)正式发布。网络安全等级保护为信息系统、云计算、移动互联、物联网、工业控制系统等定级对象的网络安全建设和管理提供系统性、针对性、可行性的指导和服务,帮助用户提高定级对象的安全防护能力。等保2.0在2019年12月1日正式实施,也就是说现在我们的企业、金融机构、政府单位,都需要按照等保2.0的要求来对信息系统进行安全保护。
等保2.0从1到5共分为5级,最常见的第三级的框架,在等保2.0框架里面安全技术和运维的部分对于安全审计、集中审计都有非常明确的要求。
具体来看等保2.0里面对安全日志审计有些什么样的要求呢?这里摘录了一些部分:
8.1.4.3 安全审计
1. 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
2. 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
3. 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
4. 应对审计进程进行保护,防止未经授权的中断。
8.1.5.2 审计管理
应通过审计管理员对对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
8.1.5.4 集中管控
应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。
除了等保以外,在网络安全法里面也对日志的留存、安全审计提出了非常具体的要求:
“第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务”
审计过程是收集、整理和分析审计证据的过程,日志是最重要的审计证据。
审计的内容包括各种操作日志、流量日志、会话日志、原始报文等,核心难点和关键技术是大数据的汇聚、存储、索引和分析技术。
所以,安全审计就是收集和记录信息系统的各种日志、事件和流量信息,对这些信息进行比较分析,检查用户或系统是否按照要求正常运行的工作过程。
针对日志的数据量大,结构多样,价值密度低的特点,以及审计所要求的长期留存,不丢失,不被篡改的要求。利用大数据技术来构建日志审计和管理平台是目前最优的,也是最主流的选择。
大数据平台有这样一些优点:
1、 日志的形态有可能是文本,有可能是数据库,也有可能是通过接口提供的一个数据流,大数据平台能够对接各种结构化/非结构化的数据,满足各类日志汇聚的要求;
2、 现在典型的用户IT环境中每天增加的日志量就在几百GB以上甚至达到TB的级别,这个数据量累积下来就会达到很大的量,而大数据平台的扩展性能够提供PB甚至EB级的存储,以满足海量日志存储的要求;
3、 在安全审计里面要求数据长期留存,不丢失,不被篡改。而大数据平台内建有数据多副本保存机制,能够忍受硬盘的损坏甚至服务器节点的损坏而不丢失数据,这也是他非常适合作为日志审计平台的一个特性;
4、 保存下来的日志还要能够很方便地进行查询,在大数据平台中提供了文本搜索引擎,能够对日志进行索引,便于快速查询和检索。
基于大数据技术的日志审计平台还可以和企业身份管理系统进行结合。在安全审计中一个重要的挑战的就是数字身份怎样能够追溯到自然人,通过日志审计和身份管理系统的结合,我们不但可以审计系统中每个ID的操作行为,而且可以知道这个ID所对应的自然人是谁,从而完成安全审计的闭环。
基于大数据技术的日志审计平台是满足等保和其他法规要求的一个非常重要的安全基础架构。当然,实现安全审计和法规遵从,只是日志分析的一个应用场景。除此之外,日志分析在安全和运维等方面还可以有很多发挥作用的地方。
日志安全审计能够结合统一身份管理,实现自然人身份的追溯,不仅如此,日志审计也可以帮助身份管理系统不只掌握用户登录到认证系统的情况,也能够知道用户登录了之后又访问了哪些业务系统,在业务系统里面做了什么样的操作,两者的结合就是用户行为分析UEBA。
UEBA,全称是用户和实体行为分析。UEBA结合了来自服务器、网络设备、VPN等的访问日志,来自身份管理系统的登录信息,授权信息,登录操作的时间、地点、频率等各种维度,并且结合对于用户行为的建模分析,构建用户的访问模式的基线baseline,从而能够识别出异常的访问并且对异常访问的行为进行告警,帮助企业更好地识别和规避来自内部的威胁和风险。
下面两个用户行为分析的例子:
1、异常访问检测
异常访问包括异常内容、异常时间、异常频率、异常地点等各种异常情况。
异常访问检测的场景可以用于离职审计,例如有员工提出离职,我们可以回溯他过去一个月或者三个月的访问行为,从中发现异常的情况,例如访问与他平时工作无关的资料,非工作时间的访问,大量的下载资料等等,以避免员工离职造成的信息泄露风险。
2、关于账号的风险检测
报告账号的泄露,账号的非法的共享等,如图所示,用户B使用了用户A的账号访问他本身没有权限访问的数据,提示可能是用户B盗取了用户A的账户信息,也可能是用户A违规将账户分享给用户B,无论哪种情况都是重要的安全风险。
其他的用户行为分析的场景还包括:
◆ 同一账号在不同地理位置登录
◆ 已删除或者挂起账号的尝试访问
等等。
除此之外,日志分析平台还可以应用于更多的场景,包括安全方面、运维方面等,发挥其独特的价值。例如:
◆ 对于安全事件的集中管理分析
◆ 帮助运维人员快速进行故障诊断
◆ 通过应用交易日志的分析实现对于应用性能的监测。
等等。
关于日志分析平台的更多的应用场景,将在后续的分享中展开做详细的分析。
