在企業(yè)網(wǎng)絡(luò)安全中,用戶活動監(jiān)控與資產(chǎn)監(jiān)控同樣重要。本文將介紹來自企業(yè)管理聯(lián)盟的具體研究結(jié)果。
與大多數(shù)保險公司類似,AIG以色列保險公司也面對一些嚴(yán)格的規(guī)范要求和安全標(biāo)準(zhǔn)的限制。為了符合這些標(biāo)準(zhǔn)的要求,它使用審計軟件去跟蹤服務(wù)器配置和Active Directory變化。但是,曾經(jīng)有一個用戶的錯誤引起了系統(tǒng)問題,這時公司認(rèn)識到它不能只關(guān)注于保證資產(chǎn)安全。它還必須關(guān)注于用戶活動監(jiān)控。
有一個AIG合作伙伴有一些不小心在一個配置文件中增加了一個空格,這個簡單的錯誤一直未被發(fā)現(xiàn),直到服務(wù)出現(xiàn)故障,這促使AIG開始摸索如何尋找問題的根源。AIG以色列公司中負(fù)責(zé)基礎(chǔ)架構(gòu)的架構(gòu)師Snir Hoffman說:“因為這些問題出現(xiàn),所以我們發(fā)現(xiàn)部署用戶活動監(jiān)控是很有意義的。畢竟,我們都是容易犯錯的人類。”
像AIG這樣的案例并不少見。雖然企業(yè)通常都有資產(chǎn)安全措施——如服務(wù)器和企業(yè)數(shù)據(jù),但是用戶活動監(jiān)控在以前優(yōu)先級不高。但是,一些高危安全漏洞正促使許多企業(yè)考慮自己網(wǎng)絡(luò)中有哪些容易受攻擊的漏洞。這可能是由于用戶疏忽或內(nèi)部惡意活動造成的,根據(jù)美國科羅拉多州博爾德研究公司企業(yè)管理聯(lián)盟(Enterprise Management Associates Inc.)的最新報告,有69%的安全事故都是由受信公司內(nèi)部人員引起的。在這些事故中,有84%是由不具備管理權(quán)限的公司用戶造成的。而且,撰寫這份報告的EMA研究主管David Monahan指出,由于用戶數(shù)據(jù)通常都是攻擊的主要目標(biāo),所以這些數(shù)字仍在不斷攀升。
Monahan指出,雖然內(nèi)部人員訪問可能是安全風(fēng)險的主要來源,但是許多公司仍然需要信任這些用戶,而且在整個安全策略中加入這些用戶活動監(jiān)控工具會讓他們感覺更輕松一些。
用戶活動監(jiān)控必須與資產(chǎn)監(jiān)控處于同等位置
大多數(shù)企業(yè)都關(guān)注于涉及特定資產(chǎn)的風(fēng)險,例如對于員工工作至關(guān)重要及保存敏感數(shù)據(jù)的服務(wù)器和應(yīng)用程序。但是,美國波士頓安全供應(yīng)商ObserveIT的銷售副總裁Dimitri Vlachos指出,許多漏洞都是由于合法用戶身份的濫用造成的,這是資產(chǎn)保護技術(shù)無法監(jiān)控的。
EMA的Monahan說:“規(guī)章的數(shù)量龐大,平常用戶并沒有得到監(jiān)控或觀察——這是一個很大的偏差,這要求我們在態(tài)度上有較大轉(zhuǎn)變。”
負(fù)責(zé)完成EMA調(diào)查的ObserveIT推出了用戶活動監(jiān)控軟件。這個技術(shù)可以幫助IT人員分辨出不同用戶組的風(fēng)險級別——如內(nèi)部用戶、承包商和管理員。Vlachos指出,它提供了一些管理和降低用戶風(fēng)險的方法。他說:“來自于用戶的風(fēng)險威脅已經(jīng)成為一個真實問題,傳統(tǒng)的安全方法已經(jīng)無法處理這些風(fēng)險了。”他指出,傳統(tǒng)安全工具可以幫助公司理解他們的系統(tǒng)——如日志管理和安全信息與事件管理(SIEM)產(chǎn)品,但是他們的IT團隊無法查看用戶正在進行的活動——無論活動是否正常。ObserveIT的工具會記錄用戶的活動,生成可搜索的日志,包括用戶、應(yīng)用程序訪問和應(yīng)用內(nèi)完成的活動。
AIG以色列公司在其中央數(shù)據(jù)中心的網(wǎng)絡(luò)安全策略中使用了ObserveIT的用戶活動監(jiān)控軟件。這家公司創(chuàng)建了一個虛擬桌面基礎(chǔ)架構(gòu)環(huán)境,其中每一個供應(yīng)商合作伙伴都有自己的Windows 7工作站,而且它們都受到集中監(jiān)控。此外,ObserveIT還能夠監(jiān)控AIG自有系統(tǒng)的管理員。
最新版ObserveIT允許企業(yè)實時監(jiān)控用戶,這是一個Hoffman及其團隊計劃實施并整合到現(xiàn)有安全基礎(chǔ)架構(gòu)的功能。Hoffman說:“能夠設(shè)置規(guī)則是很有用的——例如如果有人打開一個特定的文件,或者訪問一個特定的位置,馬上就會一個警報發(fā)出,因為這并不計劃內(nèi)操作,但是我們無法查看到這些日志。”
用戶活動監(jiān)控并非一個精密科學(xué)
無論使用了什么樣的安全技術(shù)或流程,我們?nèi)匀缓茈y確定一個用戶的身份信息是否已經(jīng)泄露。即使是最好的安全系統(tǒng)都很難分辨一個特定的活動是否有危害嫌疑,或者用戶是否有訪問特定應(yīng)用程序或數(shù)據(jù)的合法權(quán)限。
EMA的Monahan指出,但是用戶活動監(jiān)控軟件可以幫助我們確定是否有一個遠(yuǎn)程會話為特定的用戶打開,或者在相同時刻中該用戶是否有一些無關(guān)的活動路徑。
此外,如果一個用戶的身份曾經(jīng)被用于執(zhí)行欺騙動作,那么Hoffman及其團隊還能夠分析ObserveIT收集的歷史數(shù)據(jù)。他指出,他們還能夠確定用戶曾經(jīng)執(zhí)行了哪些活動或工作,使用了哪些工作站,以及同一個用戶是否同一時刻登錄了另一臺工作站,等等。
他說:“我們可以查看每一個具體的時間線。我們可以按工作站進行搜索,甚至可以直接詢問有問題的用戶,為什么他們必須使用另一個用戶的身份。”此外,這個系統(tǒng)還會向用戶發(fā)出警報,告訴他們當(dāng)前執(zhí)行的活動會被記錄。Hoffman說:“這種警告會讓用戶重新考慮,更加認(rèn)真地對待自已正在做的事情。”