終端審計如何更好地服務(wù)內(nèi)網(wǎng)安全(圖)
說到終端審計,通常的話題就是是終端審計能記錄什么樣的信息。但是,如果認為終端審計就是監(jiān)控和記錄,那就走入了終端審計的誤區(qū)。終端審計的真正目的不是將終端曾經(jīng)發(fā)生過的一切記錄下來供日后查詢,而是取證分析,檢驗已經(jīng)實施的內(nèi)網(wǎng)安全管理策略是否滿足安全管理要求,促進內(nèi)網(wǎng)安全持續(xù)改善。
一、 走出終端審計誤區(qū)
終端審計的一個重要特征是實現(xiàn)對過去發(fā)生過的歷史事件的“回溯”。比如:能否監(jiān)控和記錄終端用戶瀏覽過的網(wǎng)站和瀏覽網(wǎng)站的內(nèi)容;能否監(jiān)控和記錄終端用戶對文件的復(fù)制、刪除和修改等操作;能否監(jiān)控和記錄終端用戶打印了什么文檔和打印的文檔內(nèi)容;能否監(jiān)控到終端用戶的MSN、QQ的行為并記錄下聊天的內(nèi)容;能否監(jiān)控和保存終端用戶的終端屏幕畫面和內(nèi)容……
這一特征使得很多人容易陷入這樣一個誤區(qū),就是終端審計是為了監(jiān)控和記錄。而事實上,監(jiān)控和記錄各類終端行為信息只是終端審計的開始,而不是目的。終端審計的真正目的在于通過對終端一些異常行為進行分析,及時發(fā)現(xiàn)內(nèi)網(wǎng)安全管理的脆弱點,并對一些惡意行為進行取證和警示,保證內(nèi)網(wǎng)安全漸趨完善。
此外,終端審計作為信息安全審計的一種類型,存在以下與其他類型的審計明顯區(qū)別的特征:
1. 海量的終端審計數(shù)據(jù)
—終端數(shù)量終端,每一個終端都是一個數(shù)據(jù)收集點
—終端審計數(shù)據(jù)種類:網(wǎng)絡(luò)行為、文件操作、打印等
—終端每天產(chǎn)生的數(shù)據(jù)都是海量的
—海量的數(shù)據(jù)淹沒了真正有價值的信息
2. 終端身份復(fù)雜多變
—終端身份多樣:用戶名、IP、MAC、主機名、軟硬件配置信息等
—終端身份多變:非法盜用賬號,非法修改IP、MAC等身份信息等
—終端行為不可控,如果發(fā)生網(wǎng)絡(luò)攻擊(例如ARP欺騙)導(dǎo)致大量“虛假”信息
—身份變化導(dǎo)致審計結(jié)果“張冠李戴”
—終端身份易變導(dǎo)致審計結(jié)果不能真正溯源
終端審計以上特有的特性,如果不能確保審計目標和方法的正確性,將會導(dǎo)致審計結(jié)果的高度發(fā)散,管理員或?qū)徲媶T將被淹沒在審計數(shù)據(jù)的“海洋”里,既不能有效發(fā)現(xiàn)內(nèi)網(wǎng)中存在的安全漏洞,又不能從檢驗內(nèi)網(wǎng)安全管理策略是否適當,也不能對惡意行為進行精確定位,迷失了終端審計“促進內(nèi)網(wǎng)安全持續(xù)改善”的真正終極目標。
二、 終端控制是為了更好的審計
針對終端審計的特征和終端審計用戶的真正價值,啟明星辰的內(nèi)網(wǎng)安全管理產(chǎn)品——“天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)”,重新詮釋了終端審計的目標和終端審計的方式。
啟明星辰認為,終端審計潛在的“海量數(shù)據(jù)”和“復(fù)雜多變的終端身份”挑戰(zhàn),要求根據(jù)終端審計的目標,能夠?qū)K端審計結(jié)果進行有效控制,摒棄雜亂、無序的“干擾”行為和數(shù)據(jù),保留真正有價值或高度相關(guān)的終端行為信息,從而能夠幫助用戶快速有效對內(nèi)網(wǎng)中的缺陷和惡意行為進行分析和準確定位,促進內(nèi)網(wǎng)安全持續(xù)改善。
為了實現(xiàn)對內(nèi)網(wǎng)薄弱點或攻擊的準入定位,“天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)”不僅提供從終端“文件操作審計”、“上網(wǎng)行為審計”、“打印審計”、“違規(guī)策略事件審計”、“異常路由”、“Windows登錄審計”等終端行為相關(guān)的信息審計功能,同時更強調(diào)以“控制為前提的審計”,即“天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)”首先借助自身強大的“終端準入控制”、“終端安全控制”、“移動存儲管理”和審計模塊中具備的“文件操作控制”、“上網(wǎng)行為控制”、“打印控制”等細粒度的終端行為控制,保證只有合法的和安全的終端接入內(nèi)部網(wǎng)絡(luò)和安全網(wǎng)絡(luò)訪問,有效杜絕絕大多數(shù)違規(guī)行為或攻擊行為,從而確保終端審計獲得的信息更準確、更有效和更可信。
只有通過對準確可靠的審計數(shù)據(jù)進行分析,才能找出內(nèi)網(wǎng)中存在的脆弱點和內(nèi)網(wǎng)安全管理的不足,從而促進及時采取措施或調(diào)整已有的內(nèi)網(wǎng)安全管理系統(tǒng)的安全策略。不能為了審計而監(jiān)控并記錄,而是要先控制后審計,而做好終端安全控制對審計而言,就是為了更好的審計。
圖1為“天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)”的控制與審計的關(guān)系示意圖。
天珣內(nèi)網(wǎng)安全系統(tǒng)促使內(nèi)網(wǎng)合規(guī)
啟明星辰“天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)”,緊密圍繞“合規(guī)”,內(nèi)含企業(yè)級主機防火墻系統(tǒng),通過“終端準入控制、終端安全控制、桌面合規(guī)管理、終端泄密控制和終端審計”五維化管理,全面提升內(nèi)網(wǎng)安全防護能力和合規(guī)管理水平。
天珣系統(tǒng)引領(lǐng)了內(nèi)網(wǎng)安全管理模式的新變革,在行使內(nèi)網(wǎng)安全管理職能的同時,更與天清漢馬USG一體化安全網(wǎng)關(guān)組成以“網(wǎng)絡(luò)邊界、終端邊界”為主要防護目標的UTM平方統(tǒng)一安全套件,協(xié)同構(gòu)建多層次縱深防御體系,改變了“被動的、以事件驅(qū)動為特征”的傳統(tǒng)內(nèi)網(wǎng)安全管理模式,開創(chuàng)了“主動防御、合規(guī)管理”為目標的內(nèi)網(wǎng)安全管理新時代。
圖2為天珣五維內(nèi)網(wǎng)合規(guī)管理模型。
【編輯推薦】
