随着信息化的快速发展,企业和组织为了应对复杂的安全挑战,先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统等安全设备。由于这些设备仅针对来自某个方面的安全威胁,“孤岛式”的安全防御模式无法产生协同效应,在运行过程中产生了大量的安全日志和事件,导致安全管理人员无法在海量的日志中发现真正的安全隐患,工作效率受到很大范围的影响。另一方面,企业和组织日益迫切的信息系统审计和内控以及不断增加的业务持续性需求,也对当前日志审计提出了严峻的挑战。
一、什么是日志审计系统
日志审计是指通过全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、审计、分析,识别发现潜在安全事件与安全风险。日志审计同样属于数据安全领域的重要组成部分。
日志审计系统是一种用于记录、监视和分析系统日志的工具或系统。它主要用于帮助组织实时监控与分析各种事件和行为的日志记录,以便检测潜在的安全威胁,了解系统性能和进行故障排除。日志审计系统通常能够收集、存储和分析来自各种源的日志数据,例如操作系统、应用程序、网络设备等。通过对日志数据进行集中管理和分析,日志审计系统帮助组织提高安全性、遵守合规性要求,并支持故障排除和性能优化。
二、为什么要使用日志审计?
1、满足法律法规要求
国家的政策法规、行业标准等都明确对日志审计提出了要求,日志审计已成为企业满足合规内控要求所必须的一项基本要求。
2017年6月1日起施行的《中华人民共和国网络安全法》中规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
《网络安全等级保护基本要求》(GB∕T 22239-2019)中规定:二到四级需要对网络、主机、应用安全三部分进行日志审计,留存日志需符合法律法规规定。
2、满足系统安全管理需求
当前信息安全形势日益严峻,信息安全防护工作面临前所未有的困难和挑战。日志审计能够帮助用户更好监控和保障信息系统运行,及时识别针对信息系统的入侵攻击、内部违规等信息,同时日志审计能够为安全事件的事后分析、调查取证提供必要的信息。
3、市场方向
在网络安全法,等保2.0实施后,日志审计成为企业网络安全建设的标配产品,同时在供给侧,2018-2020年,日志审计厂商数量也出现每年翻倍的增长,日志审计成为我国信息安全市场中最热的产品。在网络安全法第二十一条中第4点明确提出“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”的要求,在等保2.0条例8.1.4.3和8.1.5.4中也明确要求了“应对审计记录进行保护,定期备份,避免受到未预期的删除修改或覆盖等”、“应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求”。以上两个强相关的法律法规,也推动了日志审计成为市场供需两端的刚需产品。
除了具有天然的合规基因,日志审计产品也扮演企业所有IT系统日志“分析中枢”的角色,通过对数十甚至上百种IT系统不同格式的日志进行检索和关联分析,帮助企业洞察网络安全风险,提升安全运营效率,降低IT管理成本。日志审计产品采用静默式旁路部署,无论对于产品制造商还是用户来说,应用实施与运行维护都非常便利。在合规与极简这两点上,日志审计产品命中了当下市场中绝大多数客户的痛点,规模化市场已经显现。
三、日志审计的核心流程
日志审计通常包含以下四个核心流程:日志采集、日志解析、关联分析、数据检索。 日志审计需要能够接入不同类型数据源,对接入数据进行加工分析,并应用流式计算、机器学习等能力提高分析处理的效率与质量。依据审计规则对泛化日志进行识别分析,识别潜在安全风险、安全事件。同时需要将采集的原始日志、处理的泛化日志进行分片存储、分片索引,以此支持海量数据的检索能力。
日志采集:
全面支持Syslog、SNMP等日志协议,可以覆盖主流安全设备、主机及应用,保障日志信息的全面收集
日志解析:
可接收主机、安全设备、应用及数据库的日志,并通过预置的解析规则实现日志的解析、过滤及聚合
关联分析:
支持全维度、跨设备、细粒度的关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析
数据检索:
通过各种事件的归一化处理,实现高性能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析处理,可对数据进行二次
四、日志审计的应用场景
提供全维度、跨设备、细粒度的日志关联分析,透过事件的表象真实地还原事件背后的信息,为用户提供真正可信赖的事件追责依据和业务运行的深度安全监控,协助用户全面审计信息系统整体安全状况
日志审计通常会运用在以下三个场景:
1、账号异常操作识别
通过采集系统日志,对其内容进行分析,识别分析账号的异常操作行为。例如当发现该账号的访问信息与备案的数据资产账号权限报备信息不一致时进行告警;某账号访问了不在其权限范围内的数据资产或试图导出高敏数据时进行告警。
2、IP异常行为识别
通过采集应用系统日志,对其内容进行分析,识别异常IP的异常行为。例如当发现同一IP同一时间段对敏感数据接口访问频次较高时或者请求IP不在权限范围内时进行告警;某IP在某时段内高频访问运营商营业厅的对外账号充值接口时进行告警。
3、主机异常操作行为识别
通过采集主机操作日志,对其内容进行分析,识别在主机上的异常操作行为。例如当发现在非变更窗口出现变更操作指令或者某一IP进行异常变更操作时进行告警。
五、日志审计的应用效果
日志取证分析: 深入分析原始日志事件,快速定位问题的根本原因;生成取证报表,例如攻击威胁报表、Windows/Linux系统审计报表以及合规性审计报表等
创新的日志解析能力 解析规则激活,仅当接收到对应的日志后,规则才会被激活,同时支持未识别日志水印处理,采用多级解析功能和动态规划算法,实现灵活的未解析日志事件处理,同时支持多种解析方法(如正则表达式、分隔符、MIB信息映射配置等);日志解析性能与接入的日志设备数量无关
监管合规: 提供Windows审计、Linux审计、PCI、SOX、ISO27001等合规性报表;支持创建自定义合规性报表
先进的数据挖掘能力: 采取无训练集合的自动购物篮分析算法,从T级别历史日志数据中有效发现行为规律
总结
随着网络设备的逐步增多以及内外部的合规和建设要求,企业日志审计能力建设成为必须。由于不同设备的安全日志分散且不统一,运维人员需要付出大量的时间与精力投入到日志采集与分析中,加重了运维人员的工作负担。针对这些问题, 鹏信日志审计平台提供一键日志采集、毫秒级日志检索、自定义配置审计规则等能力,解决了日志分散、审计门槛高等问题,大幅提升企业审计效率,达到审计场景基本覆盖,形成体系化、规范化、场景化、自动化的审计能力,支撑常态化审计工作高质量、高效率开展,助力企业构建网络安全防线。
