了解网络安全审核内容并不简单,建立一个完整的网络安全管理体系对企业来说非常重要。
试想一下,您可能在您的电脑上运行了杀*软件,然后扫描并发现木马或恶意软件,但对于整个企业来说,除非您扫描了整个网络才可能确保网络是安全的。网络威胁说来就来,有时候发现的时候其实已经晚了,这往往使企业在应对网络安全攻击上很被动。
本篇博客我们会讨论在网络安全和审核方面,如何帮助企业建立完整的网络安全管理体系,如何完善网络安全检查清单,使企业在应对网络安全威胁上变为主动。
定义网络审核清单?
很简单,在开始详细计划审核清单之前,以下几个问题是否已有答案:
网络托管的业务数据在哪里?
哪些用户有权访问哪些数据?
哪些配置(服务器配置或安全策略)直接关系着数据的安全性?
无论是内部还是外部网络攻击,攻击者的最终目标都是获得公司机密数据的访问权。每一个错误的网络配置,或者对用户的授予不当,都可能会使攻击者得逞。
公司数据存储位置?
您或许知道公司业务数据存储的大概位置,比如常见的:
数据可以存储在WindowsServer或Cluster等文件服务器中;也可以存储在SQL或Oracle等数据库;或许存储在Azure或AmazonWebServices(AWS)云上;成员服务器、工作站中;甚至其他数据存储介质,例如NetApp、EMC或NAS。
公司资源权限分配情况如何?
试想您的数据是存放在保险柜中的贵重物品,用户权限比喻成其钥匙。用户打开保险柜最常见的方法就是用钥匙,所以明确了解并且准确配置用户的访问权限非常重要。
嵌套类权限访问:您可能会注意到有些用户被授予了对文件夹不必要的访问权限。但是,后门进入可访问文件夹的安全组的匿名用户可能并不会引起您的注意。
用户凭据暴露:如果远程用户的VPN凭据暴露了,攻击者可以使用这些凭据登录到公司网络,以授权用户身份合法访问内部文件。而检测此类攻击尝试的唯一方法就是实时监视恶意用户登录行为和非授权文件访问。
云数据泄露:使用Azure的IT人员不小心将存储帐户的密钥嵌入到上传公共GitHub存储库的脚本文件中,将密码和密钥存储在云平台上远比您想象中要更普遍。例如:在AWSS3存储桶中,“阻止公共访问”参数被禁用。
错误的组策略配置:用户或安全组被授予对文件和文件夹所有权的特权,而并未过多来考虑其可能带来的后果。
用户角色分配不当:如授予终端用户SQLServer上的角色,从而导致新的未经授权的登录行为。
一旦网络攻击者发现用户帐户或服务器上的漏洞,获取了访问权限,他们就会在整个网络中横向移动,直到获取业务数据为止。为避免这种情况的发生,监视网络上的所有资源分配情况很重要,尤其对于24/7用户帐户的权限。权限的更改可能是真实的,也可能是恶意的,也可能是某个进程触发的,但是无论哪种方式导致了权限更改事件发生,记录并及时查看其详情都是必要的。
网络设备的配置如何?
再想象一下,如果保险柜的钥匙不慎丢失,但是如果保险柜本身够坚固,它也可以承受一定的外力,防止贵重物品被盗。相比之下,连接到公司网络的设备的配置也很重要。
简而言之,适当的用户访问级别和安全的网络配置一起构成了网络的安全性。
让我们先看以下几个场景:
关键的Windows服务、备份、事件日志记录进程已停止或者新进程的创建
防火墙规则或注册表项被修改
运行sudo或Yum命令在Linux系统上安装新软件。
系统安全文件(如程序文件(x86))的配置被更改
网络上运行的VPN服务的配置被更改
防火墙流量异常
数据库被更改,例如删除表、执行命令或检索某些内容
Web服务器(如MicrosoftInternet信息服务(IIS)或Apache)上的配置被更改
上面的例子应该能让您很好地了解网络中可能发生的权限或配置更改事件,并及时地发现潜在的安全威胁。
但是,同时兼顾这么多需要监视的安全事件并非易事,尤其是在您依赖于操作系统或应用程序的本机功能或脚本的情况下,非常受限制,请参考下图。
那有没有一种方案可以克服这些局限性呢?
卓豪的安全信息和事件管理(SIEM)解决方案Log可以帮您轻松搞定!
通过Log,您可以在一个友好的web界面中只需点击即可查看各种安全事件配置和日志事件分析,而且通过分析不同事件之间的相关性,及时发现敏感、可疑或恶意的活动,并通过邮件发送给指定的人员,同时启动响应措施缓解网络威胁。