日志管理中存在的问题有哪些
日志管理中存在的问题:
存在海量数据信息孤岛:目前,很多企业的日志仍然散落在各种设备上,运维人员在使用日志时需要多方查询,极其不便。日志中的价值得不到有效挖掘,运维效率极低,而且不能满足《网络安全法》对日志管理的要求。
日志应用方式原始:很多企业运维人员还在通过多终端方式连接服务器,在目录中通过grep、vi、awk等命令方式定位问题。如果运行 Windows 系统中的服务就会更加困难,需要打开第三方软件进行排障。开发人员也面临同样的问题,不过开发人员只在项目上线时才关注这些问题。最终,所有的难题都留给了运维人员。一次故障定位过程通常要花费10~30分钟,甚至更久。
存在操作风险与信息泄露:金融行业常见的隐私信息,如身份证号码、存款账号、证券账号、保单号、手机号等信息经常在往来日志报文中传输。日志权限管理不善导致客户信息泄露频发。用户登录操作风险得不到有效规避。
信息缺失:当业务系统出现异常时,运维人员往往第一时间去查看日志,有时会发现日志没有打印完整,原因是开发人员认为打印日志消耗I/O性能,会导致磁盘效率低,常常只打印错误日志。很多业务日志及安全设备日志都没有按照等级保护要求开启日志级别。很多运维人员也不清楚需要开启哪种日志级别来满足日常应用。
日志价值未被充分挖掘:很多企业没有认识到日志的重要性,为了节约成本,有时仅采购一台功能简单的工控机作为日志集中存储的设备。有些设备本身造价很低、稳定性差,经常会因为单机故障导致日志数据无法恢复,结果出现审计时无数据可用的情况。
日志管理中存在问题的解决方法有:
将日志从原本的设备和系统中剥离出来:犯罪分子总是针对特定的系统和设备,并将他们的相关操作日志移除,以掩盖自己的行踪。如果通过工具将日志从设备和系统中导出,并存储在一个分开、安全的位置,就能够确保好人依然能够看到坏人的所作所为。
在不同位置记录日志:在网络的不同位置进行日志记录非常关键。这样能帮助调查人员理解攻击者如何潜入,以及他们在网络中的行踪,还有他们在初始入侵之后的意图。” 他提到,“这也能帮助发现哪些系统和数据可能在攻击中沦陷,然后决定是否有其他系统应该进行犯罪调查。”
通过云端防护:但无论是自己保护日志系统,还是在云端,日志备份总是一个好主意,因为攻击者不总是破坏日志,有时候他们会修改日志,或者通过活动过载等各种方式污染日志内容。
在犯罪数据中加入储存媒介的图片:许多犯罪调查是通过浏览存储媒介的图片,而非浏览日志解决的。不时对虚拟机截屏并且保存相关图片,能对攻击者的行为带来非常有价值的情报。
确保多人具备日志分析能力:确保安全团队的每个人都有内存分析的能力。大部分恶意软件都不会直接对磁盘进行写入,而是直接在内存中运行,因此如果没有适当的技能和实践会很难进行分析。I
知道哪些日志文件是有帮助的:尽管根据事件的类型,有帮助的文件类别各不相同,但是有一些共性点总是有价值的。所以要能分析出哪些日志是有用的,哪些日志是无用信息这样既可降低日志分析时间,也可以加快查找攻击源的速度。
测试日志的有用性:不是所有的日志都是被 “平等” 地创建的,因此最好检查一下这些日志到底有什么用,特别是在企业真正需要使用这些日志之前。