【TechTarget中國原創(chuàng)】在企業(yè)網(wǎng)絡安全中,用戶活動監(jiān)控與資產(chǎn)監(jiān)控同樣重要����。本文將介紹來自企業(yè)管理聯(lián)盟的具體研究結(jié)果。
與大多數(shù)保險公司類似����,AIG以色列保險公司也面對一些嚴格的規(guī)范要求和安全標準的限制����。為了符合這些標準的要求,它使用審計軟件去跟蹤服務器配置和Active Directory變化�。但是,曾經(jīng)有一個用戶的錯誤引起了系統(tǒng)問題��,這時公司認識到它不能只關注于保證資產(chǎn)安全����。它還必須關注于用戶活動監(jiān)控����。
有一個AIG合作伙伴有一些不小心在一個配置文件中增加了一個空格���,這個簡單的錯誤一直未被發(fā)現(xiàn)�����,直到服務出現(xiàn)故障���,這促使AIG開始摸索如何尋找問題的根源。AIG以色列公司中負責基礎架構(gòu)的架構(gòu)師Snir Hoffman說:“因為這些問題出現(xiàn)���,所以我們發(fā)現(xiàn)部署用戶活動監(jiān)控是很有意義的��。畢竟����,我們都是容易犯錯的人類�?!?/p>
像AIG這樣的案例并不少見。雖然企業(yè)通常都有資產(chǎn)安全措施――如服務器和企業(yè)數(shù)據(jù)���,但是用戶活動監(jiān)控在以前優(yōu)先級不高�����。但是����,一些高危安全漏洞正促使許多企業(yè)考慮自己網(wǎng)絡中有哪些容易受攻擊的漏洞。這可能是由于用戶疏忽或內(nèi)部惡意活動造成的����,根據(jù)美國科羅拉多州博爾德研究公司企業(yè)管理聯(lián)盟(Enterprise Management Associates Inc.)的最新報告,有69%的安全事故都是由受信公司內(nèi)部人員引起的����。在這些事故中,有84%是由不具備管理權(quán)限的公司用戶造成的�。而且,撰寫這份報告的EMA研究主管David Monahan指出�,由于用戶數(shù)據(jù)通常都是攻擊的主要目標,所以這些數(shù)字仍在不斷攀升��。
Monahan指出�����,雖然內(nèi)部人員訪問可能是安全風險的主要來源,但是許多公司仍然需要信任這些用戶�����,而且在整個安全策略中加入這些用戶活動監(jiān)控工具會讓他們感覺更輕松一些�����。
用戶活動監(jiān)控必須與資產(chǎn)監(jiān)控處于同等位置
大多數(shù)企業(yè)都關注于涉及特定資產(chǎn)的風險�����,例如對于員工工作至關重要及保存敏感數(shù)據(jù)的服務器和應用程序���。但是��,美國波士頓安全供應商ObserveIT的銷售副總裁Dimitri Vlachos指出��,許多漏洞都是由于合法用戶身份的濫用造成的�,這是資產(chǎn)保護技術(shù)無法監(jiān)控的�����。
EMA的Monahan說:“規(guī)章的數(shù)量龐大���,平常用戶并沒有得到監(jiān)控或觀察――這是一個很大的偏差�,這要求我們在態(tài)度上有較大轉(zhuǎn)變���?���!?/p>
負責完成EMA調(diào)查的ObserveIT推出了用戶活動監(jiān)控軟件����。這個技術(shù)可以幫助IT人員分辨出不同用戶組的風險級別――如內(nèi)部用戶、承包商和管理員�。Vlachos指出,它提供了一些管理和降低用戶風險的方法�����。他說:“來自于用戶的風險威脅已經(jīng)成為一個真實問題��,傳統(tǒng)的安全方法已經(jīng)無法處理這些風險了�。”他指出�����,傳統(tǒng)安全工具可以幫助公司理解他們的系統(tǒng)――如日志管理和安全信息與事件管理(SIEM)產(chǎn)品,但是他們的IT團隊無法查看用戶正在進行的活動――無論活動是否正常�。ObserveIT的工具會記錄用戶的活動,生成可搜索的日志���,包括用戶���、應用程序訪問和應用內(nèi)完成的活動。
AIG以色列公司在其中央數(shù)據(jù)中心的網(wǎng)絡安全策略中使用了ObserveIT的用戶活動監(jiān)控軟件�。這家公司創(chuàng)建了一個虛擬桌面基礎架構(gòu)環(huán)境,其中每一個供應商合作伙伴都有自己的Windows 7工作站�����,而且它們都受到集中監(jiān)控����。此外,ObserveIT還能夠監(jiān)控AIG自有系統(tǒng)的管理員�����。
最新版ObserveIT允許企業(yè)實時監(jiān)控用戶��,這是一個Hoffman及其團隊計劃實施并整合到現(xiàn)有安全基礎架構(gòu)的功能。Hoffman說:“能夠設置規(guī)則是很有用的――例如如果有人打開一個特定的文件��,或者訪問一個特定的位置����,馬上就會一個警報發(fā)出��,因為這并不計劃內(nèi)操作����,但是我們無法查看到這些日志?���!?/p>
用戶活動監(jiān)控并非一個精密科學
無論使用了什么樣的安全技術(shù)或流程,我們?nèi)匀缓茈y確定一個用戶的身份信息是否已經(jīng)泄露����。即使是最好的安全系統(tǒng)都很難分辨一個特定的活動是否有危害嫌疑,或者用戶是否有訪問特定應用程序或數(shù)據(jù)的合法權(quán)限�。
EMA的Monahan指出,但是用戶活動監(jiān)控軟件可以幫助我們確定是否有一個遠程會話為特定的用戶打開�����,或者在相同時刻中該用戶是否有一些無關的活動路徑。
此外����,如果一個用戶的身份曾經(jīng)被用于執(zhí)行欺騙動作,那么Hoffman及其團隊還能夠分析ObserveIT收集的歷史數(shù)據(jù)�����。他指出��,他們還能夠確定用戶曾經(jīng)執(zhí)行了哪些活動或工作���,使用了哪些工作站����,以及同一個用戶是否同一時刻登錄了另一臺工作站���,等等�。
他說:“我們可以查看每一個具體的時間線����。我們可以按工作站進行搜索,甚至可以直接詢問有問題的用戶��,為什么他們必須使用另一個用戶的身份?���!贝送猓@個系統(tǒng)還會向用戶發(fā)出警報��,告訴他們當前執(zhí)行的活動會被記錄��。Hoffman說:“這種警告會讓用戶重新考慮�����,更加認真地對待自已正在做的事情���。”
