接续《企业安全管理的“六脉神剑”（上）》

实践五：实施安全监控与审计

系统监控和审计活动很重要的原因有两个。首先，监测活动告知系统管理员系统的操作方式，系统故障在哪里，在什么地方性能是一个问题，什么类型的负载系统在任何给定的时间负荷着大量负载。这些细节允许被适当的维护和发现性能瓶颈，并且指出进一步调查的领域是很有必要的。聪明的管理员使用一切可能的工具来确定一般的网络和系统的健康，然后采取相应的行动。其次，安全性感兴趣是可疑活动的暴露，正常和非正常使用的审核跟踪，以及法医证据在诊断攻击或误用时是非常有用的，这样有可能捕捉和起诉攻击者。可疑活动包括明显的症状，如已知的攻击代码或签名，或可能的模式是有经验的，意味着可能尝试或成功的入侵。

从日志中提供的信息和从其他监测技术中受益，你必须了解信息可用的类型以及如何获得它。你还必须知道如何处理它。三种类型的信息是有用的：

· 活动日志
· 系统和网络监控
· 漏洞分析

1. 审计活动日志

每个操作系统、设备和应用程序可以提供大量的日志记录活动。不过，管理员这样做必须做出记录多少活动的决定。默认登录信息的范围各不相同，什么东西可记录，应该用来记录什么，这没有明确的答案。答案取决于活动和日志记录的原因。

当检查日志文件时，了解哪些内容需要被记录，而哪些内容不重要。日志中包含的信息因日志的类型、事件的类型、操作系统和产品、是否可以选择额外的事情以及数据的类型而变化。此外，如果你正在寻找“谁”参加了此次活动，或者他们使用了“什么”机器，这些信息可能会或可能不会是日志的一部分。Windows Server 2003之前的Windows事件日志，例如，不包括计算机的IP地址，只有主机名。和Web服务器日志不包括确切信息，无论它们是什么品牌。很多Web活动通过代理服务器，所以你会发现，虽然你知道网络来源，但不知道来自具体的哪个系统。

在确定是什么日志的时候，一般情况下，你必须回答以下问题：

· 什么是默认登录？这不仅包括典型的安全信息，如成功和不成功登录或访问文件，而且还包括在系统上运行服务和应用程序的行为。
· 信息被记录哪里在？这可能会记录到多个位置。
· 随着添加的信息，日志文件的大小是无限的增长还是应当设置文件大小？如果是后者，那么日志文件已满的时候又怎么办？
· 可以记录哪些类型的附加信息？你又怎么选择这些选项呢？
· 什么时候需要特定的日志活动？在一些环境下，记录特定的项目是合适的，但对其他环境却不合适？适合某些服务器，但不适合其他服务器？适合服务器，但却不适合桌面系统？
· 应归档哪些日志和应归档保存多长时间？
· 如何让记录免受意外或恶意修改或篡改？

不是每一个操作系统或应用程序日志记录相同类型的信息。知道配置什么，在哪里可以找到日志，日志中的哪些信息在需要了解具体的系统时是有用的。综观在一个系统中的示例日志是非常有用的，然而，因为它赋予问题类型许多含义，所以这些问题你需要问和回答。Windows和Unix日志是不同的，但是对于二者，你可能要能够识别谁、什么、何时、何地以及为什么事情会发生。下面的例子讨论Windows日志。

在Windows NT、XP、Windows2000、Vista和Windows7中，默认情况下，Windows的审计日志是关闭的。Windows Server 2003和更高版本有一些审计日志功能在默认情况下是打开的，可以被记录的事情都显示在图1。管理员可以打开所有或某种可用类别的安全日志记录并且可以通过直接指定对象访问注册表、目录和文件系统设置额外的安全记录。甚至可以使用组策略（本机的配置，安全性，应用程序的安装和脚本库的实用程序）为Windows 2000或Windows Server 2003域的所有服务器和台式机设定审计要求。

什么时候使用Windows Server 2003，了解记录什么是很重要的，因为Windows Server 2003默认策略值记录了只有小数目的活动。不用说，打开所有的日志类别也是不合适的。例如，在Windows安全审核，分类审核过程跟踪将不适用于大多数生产系统，因为它记录了每一个过程活动中的每一个位，而对于正常驱动器配置和审计日志审查来说，则存在着过多的信息。然而，在开发环境或者当审查定制软件以确定它说了什么做了什么时，开启审核过程追踪可能为开发商排除故障代码或分析检查它提供了必要信息的数量。

记录在每一个Windows NT（及更高版本）计算机的特殊本地安全事件日志的审核事件是配置审核的安全事件。事件日志位于％WINDIR％ SYSTEM32 config文件夹下。除了安全事件，许多可能会提供安全性或活动跟踪信息的其他事件也会记录到应用程序日志、系统日志或者Windows 2000和更高版本的域控制器——DNS服务器日志、目录服务日志、或文件复制服务日志中。

此外，许多进程提供额外的日志记录功能。例如，如果安装了DHCP服务，它也可以被配置为记录的附加信息，例如当它租用一个地址，在域中它是否被授权，以及网络中的另一台DHCP服务器是否被发现。这些事件不会记录在安全事件日志，而是DHCP事件记录到％WINDIR％ SYSTEM32 DHCP。

图1 Windows审计日志选项

通常情况下，你可以打开记录了许多服务和应用程序的额外的日志，而这一活动被记录到Windows事件日志、系统或应用程序日志、或者服务或应用程序创建的特殊的日志中。微软的IIS遵循这种模式，和Microsoft服务器应用程序如Exchange，SQL Server和ISA服务器一样。聪明的系统管理员以及审计员，将决定在Windows网络系统上运行什么，什么日志记录功能可用于每个服务或应用程序。虽然大多数的日志信息，仅涉及系统或应用程序操作，但它可能成为一个取证调查的一部分，如果它是必要或保证其重建活动的。记住这包括什么信息被记录在每个系统上以及被记录到哪里。

许多特殊的应用程序日志中是基本的文本文件，但是特殊的“事件日志”却不是。这些文件有自己的格式，你可以管理访问它们。虽然任何应用程序可以通过编写事件记录到这些日志文件，但是在日志中，事件无法修改或删除。
事件日志本身不自动存档，它们必须给定一个大小，他们可以覆盖旧的事件，停止记录直到手动清零，或者在安全选项中，当日志文件已满时停止系统。最佳实践建议建立一个庞大的日志文件，并允许事件被覆盖，但对这些完整文件的监控和频繁的归档，所以没有记录丢失。

早期的安全和系统管理员的建议强调，日志必须每天进行审查，并假设有时间这样做。我们现在知道，除非在特殊情况下这不会发生。现在在采取下列行动的最佳实践建议：

· 发表日志数据到外部服务器。
· 日志整合到一个中央源。
· 应用过滤器或查询来产生有意义的结果。

发布日志数据到外部服务器有助于保护日志数据。如果服务器被攻破，攻击者也无法修改本地日志和掩盖他们的踪迹。日志整合到一个中央源，使数据更易于管理，因为查询只需要对一个批次的数据运行处理。Unix的系统日志工具，使用的时候，可以让你将日志数据张贴和巩固到一个中央系统日志服务器。一个版本的系统日志也可用于Windows。

其他技术日志整合的例子包括

· 收集安全事件日志的副本并定期将他们归档到一个数据库中，然后开发SQL查询以完成报告或使用现成的产品直接对特定类型的日志查询这个数据库。
· 投资于第三方安全管理工具，让它可以收集和分析特定类型的日志数据
· 使用安全信息和事件管理（SIEM）系统从许多来源——安全日志、Web服务器日志、IDS日志等来收集日志数据和警报。
· 使用系统管理工具或服务管理平台或服务的日志管理功能。

2. 监控系统和网络活动

除了记录数据，系统和网络活动可以提醒有见识的管理员潜在的问题。系统和网络应进行监测，不仅在修复关键系统和性能瓶颈的调查和解决时，也在你知道一切都好，或者攻击正在进行中。是由于硬盘崩溃无法访问系统？还是拒绝服务攻击的结果？为什么今天会从一个忙碌的网络出现突然激增的数据包？

有些SIEM工具还寻求提供网络活动的图片，以及系统活动的许多管理工具的报告。此外，IDS系统、协议分析者可以提供访问网络上流量的内容。

连续监测也许是出于安全操作的最好防御。安全操作必须能够产生、收集和查询日志文件，如主机的日志和代理、认证和归属日志。安全操作必须具有技能设置为执行涵盖了网络所有关键的“瓶颈点”（入口和出口）的深度包检测。许多商业监测包也可用，与事件关联引擎一样。开源的替代方案也可以，但是却拿不出在发生安全事故时或在事后剖析通常需要的专业支持团队。决定监视什么和如何监视这是一个重大的努力。

安全专业人士如果参考美国国家标准与技术研究院（NIST）的特别出版物800-37，“联邦信息系统运用风险管理框架的指南：一种安全的生命周期方法”会做得很好。本文档提供了连续监测战略的指导。高价值目标（资产）需要重点监测。拥有当前和相关威胁情报的安全操作，结合着广泛和有针对性的监测策略和技巧，可能抓住网络刑事犯一个APT攻击的行为。

3. 漏洞分析

没有一个缺少弱点扫描器的安全工具包是完整的。这些工具对众所周知的配置缺陷、系统漏洞和补丁级别提供当前可用系统的审计。它们可以是全面的，能够扫描多种不同的平台；也可以只对应于特定的操作系统；或者它们可以唯一地固定在一个单一的漏洞或服务，如恶意软件检测工具。他们可以是非常地自动化，只需要一个简单的启动命令，或者他们可能需要复杂的知识或完成一长串的活动。
使用漏洞扫描器，或委托这样的扫描之前，需要时间来了解将会显示什么样的潜在结果。即使是简单的，单一的漏洞扫描程序也可能会不识别漏洞。相反，他们可能简单地表明，特定弱势的服务是运行在一台计算机上的。更复杂的扫描可以产生数百页的报告。所有的项目是什么意思？他们中有些项目可能是误报，有些可能需要高级的技术知识来了解或减轻;还有一些可能是漏洞，你对此无能为力。例如，运行一个Web服务器确实让你比你不运行服务器更容易受到攻击，但如果Web服务器是你组织运作中至关重要的一部分，那么你必须同意承担这个风险。

虽然漏洞扫描产品有所不同，重要的是要注意一个基本的漏洞评估和缓解不需要花哨的工具或昂贵的顾问。免费和可用的低成本工具，和脆弱性列表的许多免费资源一起存在。特定的操作系统列表可以在互联网上从操作系统供应商获得。
国家标准与技术研究所出版了可免费下载的“信息技术系统的自我评估指南”。虽然一些指南的具体情况可能只适用于政府机关，但是大部分的建议对任何组织还是有用的；文档提供了问卷的格式，像一个审计师的工作表，可以帮助信息安全新人执行评估。在调查问卷中覆盖了风险管理、安全控制、IT生命周期、系统安全计划、人员安全、物理和环境的保护、输入和输出控制、应急规划、硬件和软件的维护、数据的完整性、文档、安全意识培训项目、事件响应能力、识别和认证、逻辑访问控制和审计跟踪等问题。

实践六：充分部署事件响应

一个组织的检测能力和复杂攻击的反应能力是依赖于一个事件响应小组的有效性和能力。这个团队由超过一个人组成，因为对一个事件的响应将由各种各样的角色实施。从管理者到员工，内部到外部的专业人士，如IT员工、业务合作伙伴、安全运营、人力资源、法律、财务、审计、公共关系和执法。计算机安全事件响应小组（CSIRT）是任何安全运营功能的重要组成部分。

卡内基梅隆大学的CERT程序为事件响应提供了一个良好的模型和有用的材料。CERT成立于1988年，由国防部DARPA机构资助，以应付第一个自我繁殖的互联网恶意软件（被称为“Morris蠕虫”）的爆发。由康奈尔大学研究生罗伯特?莫里斯释放到早期的互联网，莫里斯蠕虫在电脑上自我复制和传播，通过重载受害者电脑上无止境的任务以造成拒绝服务的攻击。CERT为计算机安全事件响应小组（CSIRT）提供了一个手册。该指南涵盖了从建议的框架到响应小组会遇到的基本问题。

为建立自己的事件响应团队的CERT过程已提供给公众，大家可以在www.cert.org找到，它包括以下步骤。

第一步，最可靠的努力，是从组织的高层管理人员获得赞助。资金和资源都依赖于这种支持，所以团队的权威是从组织内各部门借用人员。最终，团队的成功是与高层管理人员的支持相关的。

下一步是为事件响应小组制定高级别战略计划。规划目标、时限和成员考虑到团队面临的依赖和约束提供了一个实现CSIRT路线图和项目计划。

从组织中收集信息是在确定CSIRT的角色和它需要资源中重要的下一步。在这个步骤中，你发现你所需要的其他组织所拥有的资源，以及如何使用它们。例如，人力资源、法律、审计和通信（也许营销部）的代表，当然还有IT，所有的这些人，可能还有更多，扮演不同的角色，他们各自有自己的目标和在团队中他们想要看到的优先级。在信息收集阶段，你也将决定需要哪些外部资源参与，如执法和公共CSIRT组织一样。

创建和交流一个愿景、使命、章程以及下一步是规划团队的未来，而这些步骤提供了一个焦点，可以帮助团队成员理解什么需要他们以及组织与CSIRT的交互方式。在这个步骤中CERT也包括预算编制。

所有的规划完成后的下一步，就是创造团队。在这个步骤中，员工汇聚在一起训练，采购设备来支持团队宪章中定义的功能。一旦团队已经启动并运行，通知被发送到整个组织和通信程序付诸实施。在一个计划 - 执行 - 检查 - 行动循环的精神中，最后一步是评估团队的效率，以深入了解作出改善。

事件响应和安全小组论坛（FIRST）是另一个CSIRT组织，类似于CERT。他们自称为“受信任的合作处理计算机安全事故的计算机事件响应小组，促进事故预防计划的国际联盟。”根据他们的任务说明，FIRST 组织中的成员开发和共享技术信息、工具、方法、流程和最佳实践；鼓励和推动优质安全的产品、政策和服务的开发，制订并推广最佳的计算机安全实践，以及利用他们的综合知识、技能和经验，以促进一个安全的和更安全的全球电子环境。

在今天混合威胁的环境下，一个单一组织的事件响应团队将不足以提供所需的覆盖范围。安全操作必须配合有信誉的事件响应组织。此外，安全运营组织需要有一定的无论在内部或外部分析恶意软件的等级，因为这技能处于高需求的状态。安全操作必须持续监控和事件响应优先来满足在当今复杂的、网络化的、全球经济所带来的挑战。阻止网络罪犯的能力取决于该组织的检测和响应的承诺。