終端審計如何更好地服務內網安全
終端審計的真正目的不是將終端曾經發生過的一切記錄下來供日后查詢,而是取證分析,檢驗已經實施的內網安全管理策略是否滿足安全管理要求,促進內網安全持續改善。
一、 走出終端審計誤區
終端審計的一個重要特征是實現對過去發生過的歷史事件的“回溯”。比如:能否監控和記錄終端用戶瀏覽過的網站和瀏覽網站的內容;能否監控和記錄終端用戶對文件的復制、刪除和修改等操作;能否監控和記錄終端用戶打印了什么文檔和打印的文檔內容;能否監控到終端用戶的MSN、QQ的行為并記錄下聊天的內容;能否監控和保存終端用戶的終端屏幕畫面和內容……
這一特征使得很多人容易陷入這樣一個誤區,就是終端審計是為了監控和記錄。而事實上,監控和記錄各類終端行為信息只是終端審計的開始,而不是目的。終端審計的真正目的在于通過對終端一些異常行為進行分析,及時發現內網安全管理的脆弱點,并對一些惡意行為進行取證和警示,保證內網安全漸趨完善。
此外,終端審計作為信息安全審計的一種類型,存在以下與其他類型的審計明顯區別的特征:
1. 海量的終端審計數據
—終端數量終端,每一個終端都是一個數據收集點
—終端審計數據種類:網絡行為、文件操作、打印等
—終端每天產生的數據都是海量的
—海量的數據淹沒了真正有價值的信息
2. 終端身份復雜多變
—終端身份多樣:用戶名、IP、MAC、主機名、軟硬件配置信息等
—終端身份多變:非法盜用賬號,非法修改IP、MAC等身份信息等
—終端行為不可控,如果發生網絡攻擊(例如ARP欺騙)導致大量“虛假”信息
—身份變化導致審計結果“張冠李戴”
—終端身份易變導致審計結果不能真正溯源
終端審計以上特有的特性,如果不能確保審計目標和方法的正確性,將會導致審計結果的高度發散,管理員或審計員將被淹沒在審計數據的“海洋”里,既不能有效發現內網中存在的安全漏洞,又不能從檢驗內網安全管理策略是否適當,也不能對惡意行為進行精確定位,迷失了終端審計“促進內網安全持續改善”的真正終極目標。
二、 終端控制是為了更好的審計
針對終端審計的特征和終端審計用戶的真正價值,內網安全管理產品重新詮釋了終端審計的目標和終端審計的方式。
終端審計潛在的海量數據和復雜多變的終端身份挑戰,要求根據終端審計的目標,能夠對終端審計結果進行有效控制,摒棄雜亂、無序的“干擾”行為和數據,保留真正有價值或高度相關的終端行為信息,從而能夠幫助用戶快速有效對內網中的缺陷和惡意行為進行分析和準確定位,促進內網安全持續改善。
為了實現對內網薄弱點或攻擊的準入定位,內網安全管理產品不僅能夠從終端文件操作審計、上網行為審計、打印審計、違規策略事件審計、異常路由、Windows登錄審計”等終端行為相關的信息審計功能,同時更強調以控制為前提的審計。首先借助自身強大的終端準入控制、終端安全控制、移動存儲管理和審計模塊中具備的文件操作控制、上網行為控制、打印控制等細粒度的終端行為控制,保證只有合法的和安全的終端接入內部網絡和安全網絡訪問,有效杜絕絕大多數違規行為或攻擊行為,從而確保終端審計獲得的信息更準確、更有效和更可信。
內網安全管理和內網中存在的脆弱點,只有通過對準確可靠的審計數據進行分析,才能被找出,從而促進及時采取措施或調整已有的內網安全管理系統的安全策略。不能為了審計而監控并記錄,而是要先控制后審計,而做好終端安全控制對審計而言,就是為了更好的審計。
【編輯推薦】
