在发现严重的IT安全事件后,优先考虑的是将其关闭并以经济有效的方式快速恢复。但是,管理层希望找到问题的根源,以便他们有一个下手的方向,但这说起来容易做起来难。
安全事件需要进行长时间大量调查,以发现网络犯罪技术并筛选大量数据。涉及特权帐户的事件被证明是更具挑战性的,因为被授权的内部人员或劫持凭证的外部黑客可以修改或删除日志来覆盖他们的踪迹。
成熟且资金充足的网络犯罪分子经常瞄准特权帐户,因为他们拥有王国的钥匙,从而使犯罪分子大规模窃取数据,破坏关键基础设施并安装恶意软件。在特权用户的幌子下,攻击者可以在系统内潜伏数月,获取越来越多的信息,并在他们被发现之前升级他们的权限。
除了故意攻击之外,人为错误也是调查期间需要考虑的因素。例如,没有经验的管理员可能不小心错误地配置了核心防火墙,将快速解决方案变成了压倒性的调查。IT员工经常使用“admin”或“root”等通用帐户,因此很难确定谁做了什么。由于这种程度的不确定性,很容易在各方之间开始“过失游戏”。
同时对抗外部黑客威胁和人为错误的一种方法是收集有关特权用户会话的相关且可靠的数据。这使研究人员可以轻松地重建用户会话,并可以减少调查的时间和成本。
除了用户会话监控和管理之外,实施事件管理流程对于确保快速有效地识别威胁源至关重要。
事件管理流程
为了识别事件并快速响应,组织机构需要开发一个可以不变的多步骤管理流程。首先,NIST和CERT / CC概述了ISO 27002事件管理的逐步流程。这些流程鼓励采用一致的方法,特别是对于那些严格遵守法规的组织。期望企业定期定义,并且在安全事件的情况下,执行事件响应过程。他们必须确定在关键资产受到威胁时能够采取行动。
CERT / CC概念有四个组成部分。首先,报告或以其他方式检测事件(检测组件)。其次,对事件进行评估,分类,确定优先顺序并排队等待行动(分类部分)。第三,他们必须对事件进行研究,以确定发生了什么以及谁受到影响(分析部分)。最后,采取具体行动来解决事件(事件响应组件)。从本质上讲,组织需要找到这样的流程,以便在出现安全漏洞的情况下实施和引用。
识别和获取数据源
深入调查要求组织首先识别并收集相关数据。这是任何取证过程的第一步。数据源可能包括已在服务器上创建的安全日志,操作日志和远程访问日志。它们还可以跨越客户端计算机,操作系统,数据库以及网络和安全设备。涉及特权帐户的调查还可能包括会话记录或可播放的审计跟踪,这对于发现已发生的事情至关重要。
一旦数据出现,分析师就必须获得它。一些日志管理工具将集中收集,过滤,规范化和存储来自各种源的日志数据,以简化流程。对于涉及权限滥用的情况,还必须从特权会话记录中收集数据。
掌握了所有数据后,必须对其进行验证以确保其完整性。这可能包括通过使用加密的,带时间戳和数字签名的数据来防止篡改。
考试和分析
在调查期间,必须仔细检查每一条数据,以便提取相关信息。通过将日志数据与会话记录元数据相结合,可以大大加快对特权帐户事件的检查。
一旦提取了最关键的信息,分析过程就开始了。通过机器学习,组织可以分析特权用户行为并检测行为何时超出其正常操作参数。当结合显示从任何会话输入的登录,命令,窗口或文本的可重放审计跟踪时,这可以提供可疑活动的完整画面。通过所有这些元素,分析师可以为报告阶段创建完整的事件时间表。
报告和解决方案
一旦分析了所有数据,就可以开始费力的报告过程。快速调查和做出快速且明智决策的能力可能具有挑战性,需要有关可疑事件背景的实时数据。在这些情况下,访问基于风险的警报评分,快速搜索和易于解释的证据都可以加快这一过程。
在当今快速发展的威胁环境中,组织机构必须具备通过管理和监控特权帐户和访问来保护关键资产的能力。除了强大的事件管理流程外,企业还可以为事件发生时做好准备,既能够访问正确的数据,又能够轻松地对其进行分类,他们将被授权去快速发现事件的来源和应对未来系统。