在企業(yè)網(wǎng)絡(luò)安全中，用戶活動監(jiān)控與資產(chǎn)監(jiān)控同樣重要。本文將介紹來自企業(yè)管理聯(lián)盟的具體研究結(jié)果。

與大多數(shù)保險公司類似，AIG以色列保險公司也面對一些嚴(yán)格的規(guī)范要求和安全標(biāo)準(zhǔn)的限制。為了符合這些標(biāo)準(zhǔn)的要求，它使用審計軟件去跟蹤服務(wù)器配置和Active Directory變化。但是，曾經(jīng)有一個用戶的錯誤引起了系統(tǒng)問題，這時公司認(rèn)識到它不能只關(guān)注于保證資產(chǎn)安全。它還必須關(guān)注于用戶活動監(jiān)控。

有一個AIG合作伙伴有一些不小心在一個配置文件中增加了一個空格，這個簡單的錯誤一直未被發(fā)現(xiàn)，直到服務(wù)出現(xiàn)故障，這促使AIG開始摸索如何尋找問題的根源。AIG以色列公司中負(fù)責(zé)基礎(chǔ)架構(gòu)的架構(gòu)師Snir Hoffman說：“因為這些問題出現(xiàn)，所以我們發(fā)現(xiàn)部署用戶活動監(jiān)控是很有意義的。畢竟，我們都是容易犯錯的人類。”

像AIG這樣的案例并不少見。雖然企業(yè)通常都有資產(chǎn)安全措施——如服務(wù)器和企業(yè)數(shù)據(jù)，但是用戶活動監(jiān)控在以前優(yōu)先級不高。但是，一些高危安全漏洞正促使許多企業(yè)考慮自己網(wǎng)絡(luò)中有哪些容易受攻擊的漏洞。這可能是由于用戶疏忽或內(nèi)部惡意活動造成的，根據(jù)美國科羅拉多州博爾德研究公司企業(yè)管理聯(lián)盟(Enterprise Management Associates Inc.)的最新報告，有69%的安全事故都是由受信公司內(nèi)部人員引起的。在這些事故中，有84%是由不具備管理權(quán)限的公司用戶造成的。而且，撰寫這份報告的EMA研究主管David Monahan指出，由于用戶數(shù)據(jù)通常都是攻擊的主要目標(biāo)，所以這些數(shù)字仍在不斷攀升。

Monahan指出，雖然內(nèi)部人員訪問可能是安全風(fēng)險的主要來源，但是許多公司仍然需要信任這些用戶，而且在整個安全策略中加入這些用戶活動監(jiān)控工具會讓他們感覺更輕松一些。

用戶活動監(jiān)控必須與資產(chǎn)監(jiān)控處于同等位置

大多數(shù)企業(yè)都關(guān)注于涉及特定資產(chǎn)的風(fēng)險，例如對于員工工作至關(guān)重要及保存敏感數(shù)據(jù)的服務(wù)器和應(yīng)用程序。但是，美國波士頓安全供應(yīng)商ObserveIT的銷售副總裁Dimitri Vlachos指出，許多漏洞都是由于合法用戶身份的濫用造成的，這是資產(chǎn)保護(hù)技術(shù)無法監(jiān)控的。

EMA的Monahan說：“規(guī)章的數(shù)量龐大，平常用戶并沒有得到監(jiān)控或觀察——這是一個很大的偏差，這要求我們在態(tài)度上有較大轉(zhuǎn)變。”

負(fù)責(zé)完成EMA調(diào)查的ObserveIT推出了用戶活動監(jiān)控軟件。這個技術(shù)可以幫助IT人員分辨出不同用戶組的風(fēng)險級別——如內(nèi)部用戶、承包商和管理員。Vlachos指出，它提供了一些管理和降低用戶風(fēng)險的方法。他說：“來自于用戶的風(fēng)險威脅已經(jīng)成為一個真實問題，傳統(tǒng)的安全方法已經(jīng)無法處理這些風(fēng)險了。”他指出，傳統(tǒng)安全工具可以幫助公司理解他們的系統(tǒng)——如日志管理和安全信息與事件管理(SIEM)產(chǎn)品，但是他們的IT團(tuán)隊無法查看用戶正在進(jìn)行的活動——無論活動是否正常。ObserveIT的工具會記錄用戶的活動，生成可搜索的日志，包括用戶、應(yīng)用程序訪問和應(yīng)用內(nèi)完成的活動。

AIG以色列公司在其中央數(shù)據(jù)中心的網(wǎng)絡(luò)安全策略中使用了ObserveIT的用戶活動監(jiān)控軟件。這家公司創(chuàng)建了一個虛擬桌面基礎(chǔ)架構(gòu)環(huán)境，其中每一個供應(yīng)商合作伙伴都有自己的Windows 7工作站，而且它們都受到集中監(jiān)控。此外，ObserveIT還能夠監(jiān)控AIG自有系統(tǒng)的管理員。

最新版ObserveIT允許企業(yè)實時監(jiān)控用戶，這是一個Hoffman及其團(tuán)隊計劃實施并整合到現(xiàn)有安全基礎(chǔ)架構(gòu)的功能。Hoffman說：“能夠設(shè)置規(guī)則是很有用的——例如如果有人打開一個特定的文件，或者訪問一個特定的位置，馬上就會一個警報發(fā)出，因為這并不計劃內(nèi)操作，但是我們無法查看到這些日志。”

用戶活動監(jiān)控并非一個精密科學(xué)

無論使用了什么樣的安全技術(shù)或流程，我們?nèi)匀缓茈y確定一個用戶的身份信息是否已經(jīng)泄露。即使是最好的安全系統(tǒng)都很難分辨一個特定的活動是否有危害嫌疑，或者用戶是否有訪問特定應(yīng)用程序或數(shù)據(jù)的合法權(quán)限。

EMA的Monahan指出，但是用戶活動監(jiān)控軟件可以幫助我們確定是否有一個遠(yuǎn)程會話為特定的用戶打開，或者在相同時刻中該用戶是否有一些無關(guān)的活動路徑。

此外，如果一個用戶的身份曾經(jīng)被用于執(zhí)行欺騙動作，那么Hoffman及其團(tuán)隊還能夠分析ObserveIT收集的歷史數(shù)據(jù)。他指出，他們還能夠確定用戶曾經(jīng)執(zhí)行了哪些活動或工作，使用了哪些工作站，以及同一個用戶是否同一時刻登錄了另一臺工作站，等等。

他說：“我們可以查看每一個具體的時間線。我們可以按工作站進(jìn)行搜索，甚至可以直接詢問有問題的用戶，為什么他們必須使用另一個用戶的身份。”此外，這個系統(tǒng)還會向用戶發(fā)出警報，告訴他們當(dāng)前執(zhí)行的活動會被記錄。Hoffman說：“這種警告會讓用戶重新考慮，更加認(rèn)真地對待自已正在做的事情。”