对于做网络安全技术的人来说,有一个很头疼的问题,就是每天要查看设备所产生的日志信息。现在每个设备都会产生大量的数据信息,如操作系统的日志,防火墙的事件信息,数据库的访问信息等等。出于安全的考虑,安全技术人员需要定时的对这些信息进行查看、整理。这些信息对于网络安全来说,是非常重要的,因为其可以反映出,是否有人在未经授权的情况下试图登陆其没有权利登陆的设备。但是,现在的问题就是,这么多设备所反映出来的信息,若在没有其他手段的帮助下,靠技术人员手工处理的话,那工作量是非常庞大的,信息超载问题是网络安全技术人员所面临的一个新的挑战。
下面我结合自己的信息管理经验,谈谈我在这方面的处理方式。
一、根据信息所反映内容的重要级别不同,有区别的对待
一般来说,无论是硬件设备,如防火墙或者路由器,还是软件设备,如操作系统,其所记录的信息,并不是没有任何规律的。为了网络管理人员在遇到问题时,能够在系设备的日志信息中查到有用的资料,系统一般都对自身所记录的信息,做了归类。一般来手,可以分为三类。
第一类是事件,他以流水帐的形式记录了设备在一定时期内进行了哪些操作。如有哪个用户在什么时间登陆上了数据库,进行了什么操作等等。除了这些信息外,还可以反映出设备运行的一些基本信息。这些事件信息,可以让我们安全管理人员了解系统运行的状况,了解有哪些授权用户访问了设备。在遇到问题时,我们也可以迅速的找到问题的创作者。如有一次,我公司的一个文件服务器突然中断了,全部员工都不能访问文件服务器,但是,网络是通的。一开始我以为是病毒原因,我查看了文件服务器的事件日志,发现是在这中间有人以管理员的身份登陆过这个文件服务器,修改了相关的配置所造成的。我把相关的配置修改回来,又一切正常了。所以,这些事件信息的时候,平时可能对于我们的使用价值不大,但是,当出现了什么问题时,如服务器受到攻击或者其他原因导致不能访问的,我们可以从这个事件信息中看出一点端倪来。故设备记录每天的时间是非常必要的,但是,定期、不定期的对这些信息进行查看、整理却是一件很头痛的事情。
第二类是警报数据,这些数据是当设备出现一些可疑的攻击时,系统所产生的一些信息。这些警报信息我们可以自己设置,也可以由系统产生。如我们在以管理员身份登陆文件服务器的过程中,若成功登陆的话,在文件服务器上只会记录事件信息,而不会有这个行为的警报信息。若我们在尝试登陆的过程中,密码输入错误,若只是第一次输入错误的话,我们可以认为是正常的,那么也可以不用在警报数据中显示这个信息,而只在事件信息中进行记录;但是,若有人连续输入三次及三次以上密码都错误的话,那么我们就有理由相信这是一次恶意的攻击行为,有非法访问者想通过猜密码的方式非法登陆到文件服务器上,进行一些不可告人的目的,这个就是警报信息。根据密码策略,密码错误超过三次,该用户名无效。同时,也会把这条信息记录下来,其系统会自动归类为警报信息。而用户连续输入两次错误密码,但是第三次密码正确的话,则系统认为这是正常的,则只会在记录事件中进行反映,而不会在警报信息中反映出来。所以,作为企业网络的安全管理人员,要能够追踪所有的警报信息,因为这些信息可以反映出是否有人在恶意的攻击网络。
第三类是事故信息。这类信息是比较严重的信息,如文件服务器遭受到RPC等欺骗攻击导致文件服务器瘫痪等等。这类信息记录着企业的网络设备的一些重大变故,如网络设备遇到问题重启或者网络流量突然增大所导致的数据访问瘫痪等等。
这三类信息对于我们网络安全管理人员来说,其价值是不同的。事故信息,就好象是“110”指令一样,收到这个信息之后,我们要马上出发解决问题。而对于警报数据,在手头上有其他重要事情要处理的话,我们虽然可以暂时放放,但是,时间不能拖的太长,要尽快处理。对于事件信息的话,我们一般可以通过系统配置让其记录这些信息,在遇到事故信息或者报警信息的时候,再回过头去查看具体的事件信息,看看在警报信息或者事故信息发生的前后,设备在干什么。
也就是说,我们平时的时候只需要关注警报信息与事故信息,通过一定的技术手段,如邮件,让这些信息发生的时候,再第一时间内发到我们指定的邮箱。而对于事件信息,只需要保存,不需要转发。如此的话,就可以大大的减少信息的阅读量,提高信息的利用效率。
二、做好信息与解决方案的关联动作
其实,很多警报信息或者事故信息都是类似的,如因为网络流量过大导致文件服务器瘫痪或者里利用字典工具攻击文件服务器以取得用户名与密码的警报信息。这些信息我们在网络安全管理中,特别是把一些应用放在公网上的时候,经常会遇到。收到这些信息我们该如何处理呢?
若每次这些信息发生时,我们都要去想该如何处理的话,那么显然效率太低了;而且,有时候我们不止一个人在处理这些信息,可能有多个人在共同维护网络应用的时候。最常见的就像我们公司,在不同的子公司都有文件服务器的情况。当出现相同警报信息或者事故信息,我们该如何提高信息的处理效率呢?或者说,该如何减少重复性的研究工作?这是一个我们值得思考的问题。
所以,最好的方式就是把每一个事故信息或者警报信息的处理流程都能够一一对应起来。如当发生一个用户密码多次输入错误、导致用户帐户名失效这种警报信息,我们该如何处理,要形成一个统一的流程。如先核实是外部登陆还是内部登陆;若是内部登陆核实登陆的IP地址;然后根据这个地址合适登陆者的身份,再确认是恶意的登陆还确实是密码忘记所造成的。把这个流程规划化、标准化,并根对应的警报信息或者事故信息对应起来,如此的话,就可以提高这些信息的处理效率。在我们安全技术人员收到这些信息时,能够在第一时间内把问题解决了,减少可能带来的损失。
三、图形化可以提高处理这些海量信息的效率
若我们能够通过一些图形,把这些信息反映出来,那无疑可以提高我们信息阅读的效率。费力的阅读大量的文本方式反映的事件、警报、事故信息,不是一种快速处理问题的方法。我们希望能够通过图形的方式,更加只管的反映出这些信息的种类。如用户多次输入密码导致用户名失效这个警报信息会有一个专门的ID对应,我们希望能够直观的反映处,这个警报信息在今天警报信息中所占据的百分比。因为有时候,这些警报信息不是单独出现的,若是攻击的话,很多信息会关联出现。在图形中显示的就是成对的警报信息或者事件信息与警报信息对应上升等等,这有利于我们处理这些信息。
总之,我们安全技术人员要想方设法的提高处理这些信息的效率。我们若不能处理好这个信息超载的问题的话,那么我们很可能被这些信息所淹没。我们的大部分时间将会去刷选数据、整理数据、归类数据,而对这些信息所反映出来的问题、该如何解决与预防类似的情况再次发生等等,就没有时间可以顾及。这是一个本末倒置的做法。
虽然现在各种设备信息管理器集成的产品不多,但是,我们仍然可以采取一些手段,来提高信息的处理效率。如象上上面所说的,有些设备都提供了信息通过邮件转发的功能,我们可以通过这个功能提高对警报信息与数据信息的追踪力度。同时,我们也可以把这些信息跟数据库、后者EXCLE表进行关联起来。只要有具体的数据,这些工具就可以帮我们得出一些图形化的统计结果。虽然说,中间可能需要一些时间做相关的准备工作,但是,至少比我们阅读纯文本的信息效率要高的多。而且,以后需要经常查看相关的信息,所以花一点时间做好准备功课,以后办事情就可以省事许多,这是一个不错的交易。
