IT與稽核人員間的認知鴻溝
但對第一線IT人員來說,最大的問題在於,SIEM平台上對資安的監控維護無疑是需具備相當專業技術的工作;至於法規遵循就實務上而言,常可能由不具IT專業的法務或其他管理人員來執行實際的稽核工作。就某個角度來看,法規遵循不單是IT問題,更是管理問題,且這邊所說的管理,不單指設備、裝置的管理,更包含了制度與規範,以及最重要的「人」的管理在內,因此,IT人員如果還抱持著僅專注於技術,擅長與機器溝通這種傳統想法的話,勢必難以了解稽核人員的需求。
對稽核人員來說,現今企業的營運系統都已數位化,所有的管理稽核手段也都需透過IT技術來完成,如果無法獲得IT相關的支援,則可能使稽核工作淪為形式主義,甚或導致工作難以順利完成,因此IT人員對稽核工作核心重點的了解與否,將影響整個專案導入的成敗。
在本文中我們不從特定的法規標準細節(如PCI-DSS中對系統記錄的保存時間或查核頻率等)去探討,這部份會因企業導入的標準、產業適用的法規,甚至是內部稽核規範的不同而有差異。我們將從記錄的收集、保全、報告分析與後續修正的四個步驟來考量IT人員如何滿足法規遵循的需求,而這也正回應了許多法規標準中對建立稽核機制、保存使用記錄/軌跡資料與證據、與安全維護措施中持續改善流程的要求。
第一、資料收集從外部防禦延伸到內部管理
首先來看記錄資料的收集,從IT角度來看較在意的是設備記錄的收取方式,設備流量、效能是否正常…等維運工作上,但稽核人員更關心的則是系統管理權限的登入、變更等操作記錄。
至於收集範圍,以往IT人員會先把重點放在容易遭受SQL Injection、DDoS等外部攻擊的資安設備上,以防範相關的攻擊威脅,但要符合法規遵循以達到內部管理目的的話,Log收集範圍就不能只是這些,NetIQ產品經理李民偉認為,應將記錄收集的範圍擴及到內部單位、人員、資源與核心業務相關等企業「可管理」的節點上。
因此,除了協同法務、稽核人員討論法規標準中所規定的控制項外,還需要和執行核心業務流程的作業人員進行訪談,舉例來說,銀行可能就是網銀系統,而證券業則是下單系統,與這些系統有關的前台Web應用程式與後台資料庫等相關Log記錄,都是SIEM要收集的資料。
第二、透過標準格式CEF保存資料
第二步驟的Log保存,因為SIEM平台主要是在做事件分析、即時威脅管控,與事後處理,一般而言不會保存太多的資料,所以大量資料的封存、調閱等工作通常交由外部儲存擴充性較高的LM(Log Management)模組來進行。這部分則視各家產品的不同,有些廠商LM與SIEM的產品可以各自獨立,有些則是將LM包含在SIEM的產品中。
如果企業原本就有LM設備,之後想在既有LM架構上建置SIEM平台,就必需將Log轉換成較常見的CEF(Common Event Format)格式來進行跨平台的資料處理,所以企業在採購LM時需注意該產品是否支援CEF資料格式轉換。對於一些規模較小無法自建自管SIEM的企業來說,資料轉換將有助於以服務租賃的方式獲得SIEM資安管控機制,而不必一定要導入產品。
第三、大量稽核人員開始涉入的報告分析
第三步驟的報告分析也就是所謂覆核作業,這是要將前兩步驟所執行的結果呈現出來。與收集、保存記錄不同的是,在前面步驟中IT人員會執行許多日常作業,但在此階段開始會有大量稽核人員涉入,使得IT與稽核人員對法規遵循認知的鴻溝在此被突顯,甚至可能影響整個專案導入的成敗。
稽核人員除了在前置作業時參與IT人員的討論外,在報告分析時亦會希望依照不同法規標準的要求,產出符合法規中所需各項控制項的報表資料。但稽核人員未必具有IT專業,也不一定了解相關的資料結構,甚至是查詢語法,所以在SIEM系統中最好能內建大量的報表範本,讓稽核人員只要透過滑鼠點擊的方式,就能產出所需的資料。例如想要知道哪些帳號在Windows Server上被禁用?又由誰來解除鎖定?或防火牆的policy被誰所修改…等,諸如此類的報表,都能直接點選已經內建好的範本來完成。
不過每個企業的應用環境都不同,當然內建範本不可能完全滿足客戶的需求,因此SIEM平台也要具備彈性設定功能,最好能透過Web介面的點選拖拉就能完成報表中各項欄位的設定,這除了滿足稽核人員的需求外,另外也考量到這類報表資料常可能涉及到公司的商業機密,最好儘量減少廠商的介入操作。
以NetIQ Sentinel產品為例,除非是有些特定機關對報表格式要求比較細,像是要標楷體、多大字體等文字上的指定格式,否則就資料輸出的正確性、合規性來看,幾乎不需要客制化。
李民偉強調:「導入SIEM是希望企業透過此平台符合法規遵循的要求,最終達到IT治理的境界,而不是要稽核人員再去多學一套資料搜尋的方式或管理系統的方法。」因此IT人員要注意SIEM平台是否能提供稽核人員一個直覺化的搜尋介面,與友善易用且可彈性自訂的報表系統,資安專家Anton Chuvakin甚至認為報告的優劣將決定專案導入的成敗。
第四、持續維運 6階段的資安成熟曲線
最後就是藉由定期的報表查核來確保整個管理機制的運作正常,並在發生違反政策的事件時能夠儘早發現異常,以便進行後續的修正補救措施。Anton Chuvakin在《記錄與事件管理完整指南》白皮書中,從記錄管理的角度將組織資安成熟度分為忽視記錄、記錄收集、記錄調查、記錄報告、記錄檢閱與記錄監控的六個階段,其內容如圖1。
圖1、從記錄管理的角度將資安成熟度分為6個階段。(資料來源:Anton Chuvakin《記錄與事件管理完整指南》白皮書)
企業在部署了LM或SIEM方案後,在資安的成熟曲線上起碼達到第二階段記錄收集的要求,但有了這些報告還不夠,這些報告一定要經過人員的覆核分析才能發揮效果。
李民偉舉例像是防火牆、IPS等重要設備的管理與變更都應有記錄,然後稽核人員從月(或周)報表進行覆核分析時,除了要看這些變更記錄外,還要再繼續往下調出內部的作業需求單來比對,看這些policy的變更是否符合規範,這樣才是真正將管理審查落實到稽核工作上。
即時監控的SIEM平台
透過覆核分析發現問題後,接著就是開始處理修正問題。按照前面所述資安成熟度來看的話,就是從有事發生時才查看記錄的第三階段,到定期查看記錄的四、五階段,及可即時監控回應的最終階段。
隨著回應時間的不同也帶出了LM與SIEM在稽核工作上的區別:LM較偏向是事後的補救措施,因為不論間隔時間多久,當人員在覆核分析時發現有異常情況,都已經是事件發生過後。而SIEM就是在LM的架構上加入智慧型分析模組,像是關連分析規則與異常分析的功能,讓原本由人進行的事後覆核分析工作,變得更視覺化、即時化與智慧化。
尤其在面對未知的攻擊威脅上,SIEM還能依照作業的時間、邏輯等屬性,運用統計偵測模型建立起一個Baseline。以一個擁有上千名員工的企業環境為例,在每天早上9點到10點剛上班時,若發生數十次因疏忽造成的登入失敗並不奇怪,但如果同樣登入失敗的情況發生在下午3、4點時,即便只有2、3次也值得注意,因為這可能意味著異常的使用情形,當SIEM發現異常的數量大到足以造成Baseline的偏差時,就會發出警告通報,讓管理人員即時發現攻擊、做出因應。
強調需有「人」的介入處理
當然在此階段中,有些SIEM平台直接內建了workflow流程管理系統,能讓企業預先定義好資安事件的處理方式,像是該通報哪些負責人員、進行什麼樣的緊急處置…等,當有事件發生時就能依據事先規劃好的流程來執行,一方面可減少組織內人員的文書工作,另一方面還能對各項處置措施留下記錄。
不過李民偉也強調,不管是事前預警或事後補救,始終都需要人的介入處理,如果是policy不合理的話就修改規範,事件有異常的話就朝事件追查進行。在此我們要提醒,主管機關稽核的重點不是在企業收集了什麼資料與產出了多少報表,他們所在意的是,有沒有人針對這些報表記錄去做覆核分析的動作,並在後續處理上是否有被執行?也就是我們一開始提到收集、記錄、分析、與修補的4個步驟,至於IT人員所在意SIEM平台如何建置?底層又是如何運作?這些反倒不是稽核的重點所在。
專業技術能力固然重要,但IT人員在執行SIEM專案導入時要小心不要將目光只聚焦在產品功能規格上,將產品功能完全等同於法規遵循的要求,卻忽略與其他稽核、法務等相關執行人員的溝通,忘了法規遵循的精髓是在,透過記錄的收集、保存,與人員的覆核分析,再針對異常事件進行修補管理,才能做到保全證據軌跡與善盡管理責任的要求,進而邁向IT治理之路。
瞭解更多 ~
讓連續多年榮獲Gartner領導象限的NetIQ(Novell)告訴你。
專題報導系列:
系列一:透過資訊整合 打造全方位的安全監控平台
系列二:善用SIEM做好法規遵循