在企業網絡安全中,用戶活動監控與資產監控同樣重要。本文將介紹來自企業管理聯盟的具體研究結果。
與大多數保險公司類似,AIG以色列保險公司也面對一些嚴格的規范要求和安全標準的限制。為了符合這些標準的要求,它使用審計軟件去跟蹤服務器配置和Active Directory變化。但是,曾經有一個用戶的錯誤引起了系統問題,這時公司認識到它不能只關注于保證資產安全。它還必須關注于用戶活動監控。
有一個AIG合作伙伴有一些不小心在一個配置文件中增加了一個空格,這個簡單的錯誤一直未被發現,直到服務出現故障,這促使AIG開始摸索如何尋找問題的根源。AIG以色列公司中負責基礎架構的架構師Snir Hoffman說:“因為這些問題出現,所以我們發現部署用戶活動監控是很有意義的。畢竟,我們都是容易犯錯的人類。”
像AIG這樣的案例并不少見。雖然企業通常都有資產安全措施——如服務器和企業數據,但是用戶活動監控在以前優先級不高。但是,一些高危安全漏洞正促使許多企業考慮自己網絡中有哪些容易受攻擊的漏洞。這可能是由于用戶疏忽或內部惡意活動造成的,根據美國科羅拉多州博爾德研究公司企業管理聯盟(Enterprise Management Associates Inc.)的最新報告,有69%的安全事故都是由受信公司內部人員引起的。在這些事故中,有84%是由不具備管理權限的公司用戶造成的。而且,撰寫這份報告的EMA研究主管David Monahan指出,由于用戶數據通常都是攻擊的主要目標,所以這些數字仍在不斷攀升。
Monahan指出,雖然內部人員訪問可能是安全風險的主要來源,但是許多公司仍然需要信任這些用戶,而且在整個安全策略中加入這些用戶活動監控工具會讓他們感覺更輕松一些。
用戶活動監控必須與資產監控處于同等位置
大多數企業都關注于涉及特定資產的風險,例如對于員工工作至關重要及保存敏感數據的服務器和應用程序。但是,美國波士頓安全供應商ObserveIT的銷售副總裁Dimitri Vlachos指出,許多漏洞都是由于合法用戶身份的濫用造成的,這是資產保護技術無法監控的。
EMA的Monahan說:“規章的數量龐大,平常用戶并沒有得到監控或觀察——這是一個很大的偏差,這要求我們在態度上有較大轉變。”
負責完成EMA調查的ObserveIT推出了用戶活動監控軟件。這個技術可以幫助IT人員分辨出不同用戶組的風險級別——如內部用戶、承包商和管理員。Vlachos指出,它提供了一些管理和降低用戶風險的方法。他說:“來自于用戶的風險威脅已經成為一個真實問題,傳統的安全方法已經無法處理這些風險了。”他指出,傳統安全工具可以幫助公司理解他們的系統——如日志管理和安全信息與事件管理(SIEM)產品,但是他們的IT團隊無法查看用戶正在進行的活動——無論活動是否正常。ObserveIT的工具會記錄用戶的活動,生成可搜索的日志,包括用戶、應用程序訪問和應用內完成的活動。
AIG以色列公司在其中央數據中心的網絡安全策略中使用了ObserveIT的用戶活動監控軟件。這家公司創建了一個虛擬桌面基礎架構環境,其中每一個供應商合作伙伴都有自己的Windows 7工作站,而且它們都受到集中監控。此外,ObserveIT還能夠監控AIG自有系統的管理員。
最新版ObserveIT允許企業實時監控用戶,這是一個Hoffman及其團隊計劃實施并整合到現有安全基礎架構的功能。Hoffman說:“能夠設置規則是很有用的——例如如果有人打開一個特定的文件,或者訪問一個特定的位置,馬上就會一個警報發出,因為這并不計劃內操作,但是我們無法查看到這些日志。”
用戶活動監控并非一個精密科學
無論使用了什么樣的安全技術或流程,我們仍然很難確定一個用戶的身份信息是否已經泄露。即使是最好的安全系統都很難分辨一個特定的活動是否有危害嫌疑,或者用戶是否有訪問特定應用程序或數據的合法權限。
EMA的Monahan指出,但是用戶活動監控軟件可以幫助我們確定是否有一個遠程會話為特定的用戶打開,或者在相同時刻中該用戶是否有一些無關的活動路徑。
此外,如果一個用戶的身份曾經被用于執行欺騙動作,那么Hoffman及其團隊還能夠分析ObserveIT收集的歷史數據。他指出,他們還能夠確定用戶曾經執行了哪些活動或工作,使用了哪些工作站,以及同一個用戶是否同一時刻登錄了另一臺工作站,等等。
他說:“我們可以查看每一個具體的時間線。我們可以按工作站進行搜索,甚至可以直接詢問有問題的用戶,為什么他們必須使用另一個用戶的身份。”此外,這個系統還會向用戶發出警報,告訴他們當前執行的活動會被記錄。Hoffman說:“這種警告會讓用戶重新考慮,更加認真地對待自已正在做的事情。”
京公網安備 11010502049343號