觀點

集中管理企業的稽核記錄-別被日誌浪潮所吞噬了!

2008 / 01 / 03
編輯部
集中管理企業的稽核記錄-別被日誌浪潮所吞噬了!

保護企業安全重要工具
企業正游泳於日誌(log)海中。海水中包含了伺服器日誌、防火牆與入侵偵測系統這類型安全系統的日誌、路由器與存取閘道器這類型網路基礎架設裝置的事件日誌、以及各種軟體與主機伺服器的日誌。更糟的是,資訊的收集並不是只有唯一一種方式,讓企業能夠及時的解決安全事件或者是從不同區域的企業網路基礎架構中進行問題除錯。
然而,有越來越多的IT管理者在進行日誌記錄的實作上與管理所有日誌資料上感受到壓力。像是沙賓法案(SOX)與醫療保險相互運用性與責任性法案(HIPAA)這一類的遵循,會要求某些類型的審計存底(audit trail),讓日誌管理成為法規遵循中重要的工作。甚至支付卡產業之資料安全標準(Payment Card Industry Data Security Standard)還特別要求組織必須進行日誌複查。而且,聯邦民事訴訟規章(FRCP, Federal Rules of Civil Procedure)最近也修正要求必須透過較佳的日誌收集方式才能當成合法的證據。
「我們可以發現市場有朝向管理面的轉變以及政府制定的標準也驅使了日誌管理系統的購買趨勢。」NetIQ 的產品與行銷副總裁Chris Pick說。
有部分的挑戰是必須站在企業全體的角度來看待日誌記錄,並且要將所有的日誌資料存放在容易使用與中央控管的儲存環境。
最終的目標是讓這一個單一的儲存環境提供給各種不同用途的來源使用,來源可能是從在訴訟事件中的合格稽核師與對於電子化搜尋要求的回應,到管理即時安全威脅分析的協助以及網路與應用程式的問題排除。
「一個組織通常都沒有全體適用的日誌記錄標準與實踐方式,就算真的有也很難被執行。」Nokia IT安全服務管理組織的管理者Jay Leek說。
Leek建議邀請內部的法律員工一起討論來達成整個組織的一致性;這是因為有許多不同的規章會要求各種不同的日誌保存期限,而且有的時候會為了隱私的理由,在某一段時間後必須銷毀某些日誌。舉例來說,醫療保險相互運用性與責任性法案就指明了七年的保存期限,而支付卡產業卻只要求一年。對於全球性的企業來說,當歐洲和亞洲的法律都牽扯進來後,日誌管理就更加複雜了。而且當日誌記錄要當成民事或刑事訴訟用的證據時,必須是完整無缺且沒有被更動過,在不同的用途上對於日誌記錄就會有不同的要求。為了應付不同的法律要求,把律師變成夥伴是必須的。
「我們必須將IT以及法律部門結合起來產生適合整個企業的IT日誌記錄標準,」 Leek說。「律師通常都不是太技術性的人員。如果你可替他們把問題變得簡單,他們就會替你把事情變得簡單的多。但是千萬不要讓你的法律部門來執行日誌記錄專案;相對的,接納他們的建議,並且試著和他們說相同的語言。」
「主要的商業目標是避免各個部門使用各自的日誌管理工具來建立出多個資訊儲存中心,」EMC在RSA分部的資訊與事件管理團隊技術長Matt Stevens說。「您必須橫跨整個組織進行分析並且讓這些資訊可以被所有的使用者存取,還有日誌管理必須是整個管理基礎架構中的一部分。」
日誌管理現在已經是整體網路安全基礎架構中的一部份了。混合式的威脅變得越來越常見,以及越來越多的企業應用重度依賴網際網路來進行連線,因此使用統一的日誌記錄環境已經變成保護企業安全其中一樣的重要安全工具。
「現時的網路環境已經和舊時代時有著很大的不同,」Forrester Research的分析師Robert Whiteley說。「在現代,整體的網路基礎架構內存在著各式各樣的威脅。而如何良好的維護您的環境以及如何將資料釋放出來進行分析與使用就變得非常重要。」


日誌管理V.S安全資訊管理
在某些狀況下,日誌管理工具是分析鏈中的第一個步驟。但是市場中卻存在著各種令人感到混淆的各式產品,日誌管理廠商會推出另一條稱為安全資訊管理(SIM, Security Information Management)的產品線,而安全資訊管理廠商則也會針對他們的產品推出日誌管理的功能。
「有越來越多我們的中型企業客戶想要脫離稽核人員的干擾而且也不期望要執行全功能的安全資訊管理,」netForensics行銷與產品發展部的副總裁Tracy Hulver說。
問題是安全資訊管理和日誌管理工具是兩個非常不同的產品並服務不同的顧客群,安全資訊管理著重在資料關聯與即時警訊,而日誌管理則注重在資料長期的保存與證據的維護。「日誌管理較優於點對點模式與事後調查,而安全資訊管理則是較注重在企業規則的遵守,並通知安全小組來回應已發生的問題。」ArcSight 工程部的技術長兼執行副總裁Hugh Njemanze說。
因此,一些安全資訊管理產品以及日誌管理產品的生產線就被分別運行,這些產品甚至是由同一家廠商所販賣的。例如,netForensics以及NetIQ他們各自的兩項產品,就不使用統一的儲存環境,不過這兩家公司正在努力將這兩項產品修改,並期望能夠使用統一的儲存環境以及在今年底完成這項任務。「在過去,我們將安全資訊管理和日誌管理產品使用統一的儲存環境,可是卻產生了一些問題,」NetIQ的Pick說。「目前我們使用SQL資料庫來讓安全資訊管理進行即時的使用,以及在日誌儲存伺服器上使用索引後的純檔案格式(flat files)。」
日誌管理工具和安全資訊管理之間另一項的不同就是它們對於資料的分析方式。大部分的日誌管理是進行「鬆散文件(Free-Text)」的搜尋,而這樣的方式對於找出可以用來作為法律用的證據是特別有用。安全資訊管理則是偏向正規化並分析網路事件,以及能夠收集不同電腦和IP位址之間的交易資訊,而這樣的方式對於事件的處裡以及攻擊行為的追蹤是特別有用的。
在安全資訊管理與日誌管理工具中做出選擇必須取決於您組織的日誌管理目標。如果法規遵循和稽核要求是您主要的問題,那麼就先從傳統的日誌管理工具開始使用。如果您比較擔心和侵害相關的問題,那麼就使用安全資訊管理。也許最後您會決定兩個都同時需要使用。


必要的功能
不論您選擇哪一種類型的產品,報表的功能是非常重要的。netForensics的Hulver說大部分的顧客都希望有各種不同的項目能夠放在報表中,因此netForensics除了會提供一些樣板之外也可以讓用戶輕易的自製報表。
以法規遵循的層面來說客製化的報表是很重要的,而且對於即時的威脅分析來說,報知程序也是很重要的。「我們將所有的資訊都放在線上,讓安全人員可以立即的解決問題,」SenSage的執行長暨總裁Jim Pflaging說。「您也可以設定規則來檢視過去的資料,也可以根據長期的趨勢分析來進行設定門檻(threshold)與違規警訊。這對遵守法規遵循來說也是很有幫助的。」
一個產品能夠對原始網路流量資料進行哪些處理也是很重要的。某些產品,像是netForensics的nFX Log One以及RSA的enVision,並不支援載入這些資料的功能,在發生安全危害的時候就很難去關連出相關的特定網路事件。「這項功能已經在我們2008的產品計劃中了,」Hulver說。
另外,IT人員必須能夠操作日誌記錄應用程式來載入各種的日誌-像是來自各種客製應用程式的日誌-到中央的儲存環境,並且透過搜尋機制從資料庫中來找出正確的資訊。「很多時候必須將大量使用.NET或J2EE所開發的客製化ERP應用程式的日誌給匯集在一起,因此就必須能夠提供可擴充的API來完成這項工作,」Pick說。
另外一項會影響購買意向的因素是解決方案有多少的彈性與擴充性,以及當新的日誌被載入或新增時,對於現存儲存環境的影響為何。廠商們已經針對這個問題來修改它們的產品。「我們發展了一個關聯方式,可以在不需要更動底層資料庫與收集程序的狀況下,很簡單的擴充我們的資料概要(data schemas)。」Pflanging說。
「我們發展了特製的物件導向資料庫讓我們可以儲存每天十億筆的事件,」RSA的Stevens說。「當新的資料來源被新增時我們可以很輕易的產生詮釋資料(metadata)。」


該不該使用SYSLOG
Syslog是日誌記錄領域一項舊的標準,它提供了收集和儲存日誌資料的一個架構,但是卻有著知名的效能上的問題,以及在高速網路中可能會導致資料遺失的問題。某些廠商還是支援最新被稱為syslog-ng(ng代表next generation/下一代的意思)的版本,該版本傳輸過程中使用TCP來取代UDP。
「Syslog-ng試著用保證傳輸來解決資料遺失的問題,但是卻減慢了整個資料收集的程序,」ArcSight的Njemanze說。您選擇上的機會成本是使用高效能的收集器來即時的分析網路流量找出威脅,但是會遺失一些日誌事件,或是在速度較慢的非即時狀況下收集所有的資訊。
「當您在收集所有的日誌資料時不應該強制進行過濾或正規化的動作,因為進行這些行為將會影響到速度,」Stevens說。
因此,LogLogic供應了兩個不同的日誌管理產品線。其中一個會將日誌儲存至SQL資料庫,而另一個則使用檔案形式來儲存。「同時進行兩種方式是很重要的,」 LogLogic產品管理主任Anton Chuvakin說。「一些日誌資料的使用者想要彈性的產生視覺化與合乎遵循的報表,而其他使用者則想要能夠進行全文檢索。」
「在實務上,我們大部分的客戶都傾向使用傳統的syslog,因為他們想要看到目前的訊息,即使這代表著在收集程序中會遺失少許資料。不論您使用哪一種方法,記得確認您用來抓取日誌的系統有足夠的空間來儲存流量資訊,」Njemanze說。
「Syslog是不良的而且還有一大堆缺點,但是它真的很普遍,而且還有數百萬的裝置都使用它的格式來進行記錄,」Chuvakin說。「有的時候方便會凌駕於安全之上。」


達到更好的日誌記錄三步驟
儘管日誌管理是很複雜的工作,但是依照下面三個簡單的步驟可以幫助組織的日誌更加的可管理化。
1. 將您的日誌需求依照三種功能領域來區分並逐個檢視需要。這些領域各是日誌收集程序、負責儲存日誌資料的儲存環境、以及依照企業用途的各項商業分析。通常,日誌管理以及安全資訊管理工具只會滿足一到兩項的功能或者進行不同種類的分析,導致許多的企業必須購買各項分別的產品。
2. 當您在設計任何日誌管理綱要的時候請確保有把保管鏈(chain of custody)給考慮進去,這樣您的資料才能被當成證據並在法庭上站的住腳。「目前對於日誌的存取程序經常是缺乏控制,以及對於誰能夠檢視敏感資料也是存在一堆嚴重的問題,還有在處理日誌資料時對於如何處理證據管理程序也是不足,」Nokia的Leek說。
通常,日誌管理工具會比安全資訊管理還要注重保管鏈的保存,因為安全資訊管理通常會對資料進行關聯與分析。「您會想要盡可能的取得最短的保管鏈,」ArcSight的Njemanze說。「我們將日誌管理系統放在安全資訊管理之前,這樣該系統就可以負責儲存記錄。這也表示安全資訊系統並不在保管鏈之中。」
NetIQ的Pick補述:「您會希望事件收集器能在收集的資料上加上數位簽章,確保資料來源的不可否認性以及確保日誌事件沒有被竄改過。」舉例來說,NetIQ會利用代理程式來確保日誌資訊有確實的傳送進儲存環境中,而且也會對這些資訊進行數位簽章。
3. 小心的取得安全和遵循需求的成本和收益間的平衡。「缺失(noncompliance)的成本將會左右整個組織的日誌管理需求,」Pick說。「這並不是一個一體適用的解決方案。」
而且,使用自家開發的解決方案也會隨著時間增加支援成本。「每個組織都會自建昂貴的日誌管理腳本程式。通常,只有一個人才知道怎麼操作這些腳本程式,而且整個日誌管理環境是一直在變動的,」Leek說。
毫無疑問的,日誌管理是一項困難的工作,但是由於日誌管理會為安全與遵循帶來好處因此也成為不可或缺的工作。目前市場上可取得的工具都可以幫助降低管理過程的複雜度,而這也是廠商希望他們產品所能達成的目標。由於廠商持續會增加功能來擴充並完整化他們的產品線,日誌管理以及安全資訊管理未來越來越涵蓋到對方的領域。然而,在未來這幾年IT人員和安全管理者還是同時需要這兩項產品來滿足各項的需求。