事件通常是這樣開始的…,在周休二日後的第一個上班日,同事一早打開電腦登入網域準備從公用伺服器上存取相關檔案開始工作時,整個辦公室陸續傳出哀嚎,「是誰改了我的報價單?」「我的客戶資料怎麼不見了?!」、「我們部門的共享資料夾怎麼多出一堆亂七八糟的圖片?」。各部門的抱怨聲此起彼落,MIS小陳的電話一早就被打爆,雖然透過備分資料還原將損害減到最低,但小陳也知道這是治標不治本的方法,如果不找出幕後搗亂的黑手,這種情況勢必一再發生。
但當小陳打開伺服器的事件檢視器想找出是誰動過這些資料時才發現,當初為了檔案伺服器的效能考量,許多稽核服務都沒有啟動,即使有留下記錄的Log不是難以閱讀就是只看到「稽核物件變更」這樣的訊息,根本無助於事件調查…。
什麼是檔案完整性監控?
當你遇到上述這種似曾相識的場景時,FIM(File Integrity Monitoring,檔案完整性監控)可能就是你的最後一位救星了。所謂檔案完整性監控,顧名思義就是即時監控企業IT架構裡的重要檔案或系統物件,以發現任何未經管理的權限變更,或異常存取檔案的行為。以NetIQ的Change Guardian產品為例,其所監控的目標主要有二大塊:一個是人對資源權限指派的變更異動,這通常也是事件發生前的一個準備動作或徵兆;另一個則是得到權限後做了哪些事?這部分就屬於事件發生後的追蹤。
台灣網威總經理黃成弘進一步說明,這些監控物件包括檔案系統的修改、登錄組態的異動、檔案的共享設定等,而在權限指派上則能監控像是使用者/群組從屬關係的變更、信任關係的移轉、群組政策的設定等異動。至於在功能上則依據受監控主機種類分為Change Guardian For Windows、Microsoft Active Directory For CGAD & CGGP、UNIX/Linux的不同模組。「其實就是從人為操作角度去看檔案或物件的讀取、寫入、變更、異動的行為,讓管理人員能夠監控檔案、權限的指派過程,像是變更由誰造成?變更了什麼?何時發生?等事項,以便事後的追查」,NetIQ產品經理李民偉如此表示。
至於產品的部署架構上相當簡單,基本上Change Guardian就是由中控伺服器與agent所組成,中控伺服器負責政策的編修派送、事件的接收調閱與報表的產出,而agent則是安裝在受監控的主機上,負責執行政策與事件收集即可。
快速設定且減少效能負擔的Change Guardian
前面提到,雖然作業系統本身也能提供Event Log,但管理人員可能會因為效能考量而未開啟事件記錄;即便開啟稽核功能,過多且僅顯示「稽核物件存取」、「稽核物件變更」這類無用資訊的Log,也讓管理人員根本無從分析,更無法了解實際發生的操作行為。
Change Guardian的優點在於,負責事件收集的agent直接與系統核心溝通,即使不打開系統稽核功能也可運作,將效能的影響降到最低。另外,在事件監控上我們不可能收集所有的記錄,一來是日誌數量過於龐大會對系統造成不必要的負擔,同時也難以閱讀,但管理人員在面對這麼多的目錄物件與登錄檔案時,到底哪些是該被監控的項目?又該如何進行設定?
為了方便管理人員操作設定,Change Guardian內建大量的管理情境可供套用,如:File Integrity(檔案完整性)、File Shares(檔案共享)、File System(檔案系統)…等,再搭配直覺的政策編修介面,讓管理人員能彈性進行policy的細部修改,最後再以人性化的操作顯示來協助事件的處理判讀。李民偉表示使用Change Guardian的好處就是「以直覺的方式,透過選單勾選即可協助管理人員完成政策的制定並派送到agent上。」
.png)
圖1、Change Guardian內建許多預設的政策套用範本,以協助管理人員進行監控政策的編修設定。
Change Guardian的定位
既然企業能透過對檔案完整性的監控來了解異常檔案的存取行為,那是否代表有了Change Guardian就不必建置像SIEM這類的解決方案呢?李民偉解釋,FIM不像Host IPS或防火牆一類的產品可以直接阻斷惡意行為,FIM所做的主要還是在異常行為的監控與通知,如果企業希望在異常行為發生時,能即時介入處理的話,就需要搭配SIEM或LM,透過workflow的流程管理系統進行阻斷。
SIEM的長處在於關連分析,但其賴以分析的素材還是來自Log,如果Log資訊不夠清楚還是難以做出有效的判讀;而FIM則能在檔案異動與權限變更上提供更深入的使者操作資訊,以加強SIEM在這方面不足的地方,兩相比較下, SIEM注重收集資料的廣度,以進行關聯或異常分析,而FIM則定位在深度的判讀與行為的重現,提供給管理者鑑識還原,兩者結合之後,就能達到精準事件偵知?通報?處理?稽察的管理循環 。
Change Guardian與SIEM的整合
也由於FIM與SIEM產品定位的不同,讓Change Guardian在使用上偏向兩大族群,黃成弘表示,第一個族群是像銀行、證券、電信與政府特殊單位等有法規遵循與較高資安需求的機構。這類族群多半已有資安事件管理平台,所以建置Change Guardian的目地在於搭配既有SIEM產品,將Change Guardian監控到的異動資料送到SIEM中做進一步的關聯式分析,更全面掌握企業環境中所發生的資安事件。
這種情況下如果搭配Sentinel的SIEM平台時,由於都是自家產品當然可做到完全整合,這時只需要選擇agent在收集事件後是送到Change Guardian還是Sentinel的中控平台,或是兩者皆送,而Change Guardian此時所做的就是政策編修與派送,其餘像是報表產出與記錄的收容/調閱…等,都可在Sentinel管理介面中執行。
李民偉表示,如果Change Guardian要和其他第三方產品整合的話,可利用Syslog協定,以JSON(JavaScript Object Notation)的格式來進行資料交換,這種情況agent就只能將事件送回到Change Guardian的中控平台,再由Change Guardian server透過Syslog轉發到第三方產品中。
Change Guardian與DLP的差別
另一類使用族群則是像園區內一些廠商,有部份機密檔案需要深入的監控,但又不用做到像SIEM般將整個單位的所有資訊納入管理,這時就可以考慮單獨建置Change Guardian,像是在File Server上監控重要檔案,在平常產出合規性的稽核報表,而在有異常存取事件發生時可以發出通知,並在事後提供事件調閱以了解事故發生的脈絡。
或許有人會質疑,其導入這種單獨建置的應用,為何不直接採用DLP解決方案做到更積極的資料外洩防護?對此李民偉解釋,建置DLP、DRM這類方案必需高度依賴policy的制定,像是文件分類、機密內容的定義…等工作,都要大量的人力作業與政策面的配合,其所涉及的層面甚廣,IT工具只能做到一小塊,如果由IT部門主導專案進行的話,往往難逃失敗的命運。但FIM被動監控的特性讓IT人員在使用者不察覺的情況下,針對重要的資源物件持續監控,在減少非技術等不確定因素影響的同時,做為事件發生後IT人員鑑識還原的最佳利器。
透過Change Guardian進行事件的調查
讓我們回到文章一開始所描述的事件,如果當初有建置像Change Guardian這類的FIM產品時,小陳就可以透過預先制訂的共享目錄異動監控、共享物件存取監控、檔案內容異動比對的檔案存取異動政策;再加上使用者帳號管理監控、使用者被新增進入administrator群組的權限指派變更政策,然後在中控平台上按照不同的分類來開始進行事件的調查。從檔案的寫入、刪除、異動等類別來了解到底有哪些資料遭到惡意破壞,而Change Guardian的事件報告中也會清楚的顯示出是由誰,在何時,透過哪個裝置、IP,做了什麼事。
.png)
圖2、Change Guardian的事件報告中,清楚顯示出由誰在何時曾執行過的動作。
不過可惜的是,當小陳進一步要去追究使用者責任時,卻發現使用者帳號用的是「ABC」這樣一個根本無意義的帳號名稱,而讓事件的調查陷入瓶頸,所以接著他再透過能整合AD帳號資訊的Sentinel關連式分析平台,利用Identity Tracking的功能深入追蹤這個帳號,才發現該帳號是由剛離職的員工Steven之前所新增,然後再偷偷加入管理員群組,以便伺機進行破壞。
雖然小陳最後找到幕後黑手,但仍不可忽略後續的處理動作,所以小陳將Steven執行過的系統相關變更先做一次清查,以了解還有哪些未被發現的惡意行為,接著再利用Sentinel關連式分析引擎來制定policy,日後只要有帳號新增且不久後就被加入特權群組時,就馬上通知管理人員進行追蹤,以確認是否為經過授權的管理變更,避免再度重蹈覆轍,以真正落實IT治理與法規遵循的精神。