历史无法改变,但你查到凶手了吗?
- DIGITIMES企划
-
许多科技设备或系统都会产生日志,有些日志可以让IT人员迅速掌握系统遭受攻击的状况,但也可能因为信息量过大,导致IT人员无法实时判读,找出有用的信息。中华电信数据通信分公司网安产品研发工程师张立人指出,如果没有一种方式来分析及告知日志,许多「食之无味,弃之可惜」的信息,可能就会造成网安管理上的问题。
一般而言,系统及设备每天都会有日志纪录。有的是纪录系统或服务的状态,如通知有哪些程序被关掉,或在不正常状况下被关闭;有的是提供系统稽核纪录,包括帐号、群组及权限的变更,以及登入、注销或是新增、修改或删除的动作纪录;有的则是系统服务使用纪录,如Proxy、DNS、Apache或DB的传输或存取;有的则是安全性纪录,如使用者中毒或被攻击时,系统会留下纪录。
至于日志的传输方式,张立人指出,重点在于不要占据太多网络带宽资源,大部分设备会采用UDP 514,其次则是TCP 1468。也有少部分软件的日志,会写在软件内建的数据库或是档案系统中,如果要蒐集这种日志,就得另外写程序把日志读出来再传送。
至于日志的用途,可能是用来查测系状状态,如某些重要的程序,只要出现不正常的关闭动作,IT人员可以根据日志寻找问题所在;或是障碍查测,如网络出现状况时,IT人员可以根据日志查相对应的硬件;而在网安方面,日志更可能是找到元凶的重要工具。
日志固然重要,但张立人指出,IT人员不能只去看日志的结果,过程也是很重要,唯有了解来龙去脉,才能确定真正的问题在哪里。而具备时间连续性的流量数据,就是个可提供IT人员掌握更为详细的事件内容之强大工具,即使IT人员须花费较多时间对每种网络协定进行解析,但其所提供的效益能让IT人员对事件处理下出更为精准的结论。
因此,IT人员一定要掌握与日志数据相处的方式。张立人指出,日志要集中收容,因为设备数量少的时候,也许查询日志只需要花一点时间,但只要设备数量变得很多,可能就要花很多时间登入到各个设备看日志,反而会耗费更多时间。
此外,不同的设备,即使送出意义相同的日志,但其长相却可能不尽相同。张立人指出,IT人员如果需要不断地识别不同设备的日志栏位,也可能会造成工作上的负担,因此若能透过集中收容并利用工具对日志内容进行正规化后储存,便可让栏位管理与日志查找变得较为容易。
集中收容日志的第三个好处,则是管理储存空间。由于企业必须要符合个资法的3年要求,张立人指出,光是一般Apache Server产生的日志(每秒约100笔 Request),每天就可能会产生1.6GB的数据量,3年下来可能有多达近7TB的日志需要管理;就一般网络与网安设备来说,无法提供如此长时间的日志收容,因此需要透过统一收容并对日志的生命周期进行如压缩等的管理方式来降低硬件成本。
但日志虽然有利于IT人员掌握网安问题,却不是所有的日志,都能够迅速解读。张立人指出,同样是系统登录失败的信息,Windows与Linux的日志内容就不相同,尤其以Windows纪录最为复杂,不容易判读。而侧录的网络流量封包,因为是2进位位元的内容,一般人更无法直接判读。
张立人认为,日志与流量都先得做到正规化与协定解析,利用现有的工具进行转译后,将日志与流量变成每个人都看得懂的格式,再透过其他工具进行关联分析,如找出不同物件行为的关联性,以归纳出新行为,或是透过时间、特定字串,进行日志内容分析,以找出需提醒使用者注意的部分。
在关联分析的部分,张立人也举出几个较为常用的例子,如透过日志内容发生频率之分析可发现,当出现短时间内系统连续登录错误的现象时,就可能判断遭受到口令暴力破解攻击;而透过与白名单关联的比对方式,也可过滤掉可能是弱扫系统扫描任务产生的假警报;而透过流量关联分析,更可掌握有企业受骇轨迹记录,IT人员就可以追溯恶意攻击源头,并透过黑名单比对,来进行内网受骇范围定位,进而强化网安工作。
最后,IT人员可以善用中华电信自行研发之企业异常活动监测系统(SmartSOC),完成前述日志?流量集中收容、内容正规化、关联分析、自动告警与报表自动产制等工作。
SmartSOC出场内建上百条关联分析规则,支持多达30种市售知名品牌网络、网安设备与常见操作系统,并提供实时仪表板功能,让IT人员了解当日网安事件统计及时分析信息;同时可利用关联分析事件检视功能,查找特定事件,并追溯原始日志?流量来进行事件处理。
而在日志?流量内容查找部分,也可支持Regular Expression(正规表示式),提供更高的查找弹性让有经验的IT人员进行使用;查找完后IT人员也可将查找条件存放至我的最爱中,待下次查找时直接汇入查询以节省时间。此外SmartSOC也提供日?周?月的事件统计报表,让IT人员不需要再额外耗费大量时间进行数据统整,弹指之间即可完全掌握网安问题。
