發掘 Log 的隱藏價值!堵塞被遺忘的保安盲點

提到保安,大家第一時間會想起網絡保安、防毒軟件、DDoS,進取一點的可能會想到資料外洩。不過除了以上種種,似乎大家都遺忘了一項最基本且極重要的項目,那就是針對不同的系統日誌進行監管。
news11

系統日誌(Log)雖然是一些純文字資訊,然而懂得理解當中意義,便會發現這些日誌擁有無可比擬的價值。本文將針對 員工層面的IT安全審計工作以及系統日誌作為電子證物方面作簡介。

系統日誌的隱藏價值

查看系統日誌對網絡技術人員來說,幾乎是每天的例行工事,透過查看系統日誌可發現系統問題,從而能有充足的時間因應問題而及時作出修補;除此之外,通過紀錄不同的系統日誌,亦可代替傳統監控方法時所花費的人力資源及時間,就如以下的真實例子。

真實例子:遙距存取浪費人力資源?

很多時企業都會將部份的 IT 工作外判予第三方的 IT 公司,而當問題發生時,這些公司基本上都會先透過遙距存取的方式進行支援工作,此方法不但能提升整體效率,而且更節省支出;既然如此,那又為什麼「遙距存取浪費人力資源?」

如果當第三方 SI 公司或產品廠商支援人員遙距存取 A 公司系統時,A 公司因為安全考慮,而需安排專人全程監視作業,即是說假如支援工作需要花上一整天,A 公司亦需派出一名員工陪上一整天的光陰,那不是浪費額外人手?

其實上述問題通過採用系統日誌進行監視,便可輕易解決,因為這類型方案能實時將不同的流程進行攝取或錄影,所以遙距操作的過程亦會被紀錄下來,這樣萬一第三方公司採取了未經批准的存取動作,系統亦可一一紀錄並以此作為電子證據,減少浪費人力資源的同時亦可確保第三方公司能遵循 A 公司定下的法規。

私人助手:降低安全審計工作量

定期進行安全審計幾乎是每家企業的例行工作;而傳統上需針對不同的設備按規定的程序而進行審計工作,例如攝取圖片、製作報告等等,而這些工作無疑為 IT 員工帶來一定壓力;針對此問題,坊間亦有方案能協助員工完成上述的麻煩工作,這些方案包括可全自動攝取不同系統畫面以及產生專業審計報告,最終為 IT 員工節省大量時間及工作量,令他們可專注於其他重要項目,提升整體的效率。

電子證物:不可或缺的一部份

系統日誌除可作為除錯或監控不同系統動作的參考資料外,其實亦是一項十分重要的電子證物;事實上,參考外國的案例不難發現,系統日誌往往較容易被法庭採納成為合法的電子證物;然而為了增加被接納機會,需要將日誌以 Audit Trail 的角度進行分析;當然,假如能配合上傳統媒介例如是紙張類別的證物作為佐證,那電子證物便更為有力了。

法庭對電子證物的要求十分之多,除上述很概括地簡述的部份要求外,在一般情況下法庭亦需用戶:1. 集中保管日誌,並證明日誌沒有被竄改;2. 證物需具備 IP 來源;3. 證物需具備真正的最後修改時間;4. 紀錄用戶的行為如讀、寫行為等等;而要做到上述要求,企業不得不透過第三方的方案協助。至於一些本身沒有內建日誌紀錄功能的軟件,則需要使用其他紀錄方案針對提供符合法規要求的日誌紀錄。

日誌搜尋與歸檔工作的重要性

上述提及的均與取證相關,然而即使我們能擁有一定能力取得符合法規要求的電子證據,但系統日誌數量龐大,優化搜尋精準度亦是每位搜證人員在搜證工作過程之中的其中一項重要目標。 幸好,常見的日誌管理方案在設計時均考慮到搜證工作需要,因此往往已能提供到精準的搜尋功能,例如針對指定時間作搜尋工作;而部份專業方案更容許用戶以「If, Then, Else」的方式設定搜尋條件,從而提供極具靈活性的搜證體驗及提升準確度。

最後值得一提的就是與歸檔相關的動作。所謂的歸檔是指將不同的非結構化數據作綜合整理及加入索引分類等等,這是另一個複雜的題目;但簡單來說就是通過將日誌歸檔從而便於往後更快速的進行搜尋或匯出日誌;這功能在進階的日誌管理或電郵管理工具之中均會提供,大家不妨多加採用此功能,並於日常做好歸檔工作,未雨稠繆,做好充足準備。