歷史無法改變,但你查到兇手了嗎? 智慧應用 影音
TI(ASC)
IC975

歷史無法改變,但你查到兇手了嗎?

  • DIGITIMES企劃

中華電信數據通信分公司資安產品研發工程師張立人。
中華電信數據通信分公司資安產品研發工程師張立人。

許多科技設備或系統都會產生日誌,有些日誌可以讓IT人員迅速掌握系統遭受攻擊的狀況,但也可能因為訊息量過大,導致IT人員無法即時判讀,找出有用的資訊。中華電信數據通信分公司資安產品研發工程師張立人指出,如果沒有一種方式來分析及告知日誌,許多「食之無味,棄之可惜」的訊息,可能就會造成資安管理上的問題。

一般而言,系統及設備每天都會有日誌紀錄。有的是紀錄系統或服務的狀態,如通知有哪些程序被關掉,或在不正常狀況下被關閉;有的是提供系統稽核紀錄,包括帳號、群組及權限的變更,以及登入、登出或是新增、修改或刪除的動作紀錄;有的則是系統服務使用紀錄,如Proxy、DNS、Apache或DB的傳輸或存取;有的則是安全性紀錄,如使用者中毒或被攻擊時,系統會留下紀錄。

至於日誌的傳輸方式,張立人指出,重點在於不要佔據太多網路頻寬資源,大部分設備會採用UDP 514,其次則是TCP 1468。也有少部分軟體的日誌,會寫在軟體內建的資料庫或是檔案系統中,如果要蒐集這種日誌,就得另外寫程式把日誌讀出來再傳送。

至於日誌的用途,可能是用來查測系狀狀態,如某些重要的程序,只要出現不正常的關閉動作,IT人員可以根據日誌尋找問題所在;或是障礙查測,如網路出現狀況時,IT人員可以根據日誌查相對應的硬體;而在資安方面,日誌更可能是找到元凶的重要工具。

日誌固然重要,但張立人指出,IT人員不能只去看日誌的結果,過程也是很重要,唯有了解來龍去脈,才能確定真正的問題在哪裡。而具備時間連續性的流量資料,就是個可提供IT人員掌握更為詳細的事件內容之強大工具,即使IT人員須花費較多時間對每種網路協定進行解析,但其所提供的效益能讓IT人員對事件處理下出更為精準的結論。

因此,IT人員一定要掌握與日誌資料相處的方式。張立人指出,日誌要集中收容,因為設備數量少的時候,也許查詢日誌只需要花一點時間,但只要設備數量變得很多,可能就要花很多時間登入到各個設備看日誌,反而會耗費更多時間。

此外,不同的設備,即使送出意義相同的日誌,但其長相卻可能不盡相同。張立人指出,IT人員如果需要不斷地辨識不同設備的日誌欄位,也可能會造成工作上的負擔,因此若能透過集中收容並利用工具對日誌內容進行正規化後儲存,便可讓欄位管理與日誌搜尋變得較為容易。

集中收容日誌的第三個好處,則是管理儲存空間。由於企業必須要符合個資法的3年要求,張立人指出,光是一般Apache Server產生的日誌(每秒約100筆 Request),每天就可能會產生1.6GB的資料量,3年下來可能有多達近7TB的日誌需要管理;就一般網路與資安設備來說,無法提供如此長時間的日誌收容,因此需要透過統一收容並對日誌的生命週期進行如壓縮等的管理方式來降低硬體成本。

但日誌雖然有利於IT人員掌握資安問題,卻不是所有的日誌,都能夠迅速解讀。張立人指出,同樣是系統登錄失敗的訊息,Windows與Linux的日誌內容就不相同,尤其以Windows紀錄最為複雜,不容易判讀。而側錄的網路流量封包,因為是2進位位元的內容,一般人更無法直接判讀。

張立人認為,日誌與流量都先得做到正規化與協定解析,利用現有的工具進行轉譯後,將日誌與流量變成每個人都看得懂的格式,再透過其他工具進行關聯分析,如找出不同物件行為的關聯性,以歸納出新行為,或是透過時間、特定字串,進行日誌內容分析,以找出需提醒使用者注意的部分。

在關聯分析的部分,張立人也舉出幾個較為常用的例子,如透過日誌內容發生頻率之分析可發現,當出現短時間內系統連續登錄錯誤的現象時,就可能判斷遭受到密碼暴力破解攻擊;而透過與白名單關聯的比對方式,也可過濾掉可能是弱掃系統掃描任務產生的假警報;而透過流量關聯分析,更可掌握有企業受駭軌跡記錄,IT人員就可以追溯惡意攻擊源頭,並透過黑名單比對,來進行內網受駭範圍定位,進而強化資安工作。

最後,IT人員可以善用中華電信自行研發之企業異常活動監測系統(SmartSOC),完成前述日誌?流量集中收容、內容正規化、關聯分析、自動告警與報表自動產製等工作。

SmartSOC出場內建上百條關聯分析規則,支援多達30種市售知名品牌網路、資安設備與常見作業系統,並提供即時儀表板功能,讓IT人員了解當日資安事件統計及時分析資訊;同時可利用關聯分析事件檢視功能,搜尋特定事件,並追溯原始日誌?流量來進行事件處理。

而在日誌?流量內容搜尋部分,也可支援Regular Expression(正規表示式),提供更高的搜尋彈性讓有經驗的IT人員進行使用;搜尋完後IT人員也可將搜尋條件存放至我的最愛中,待下次搜尋時直接匯入查詢以節省時間。此外SmartSOC也提供日?週?月的事件統計報表,讓IT人員不需要再額外耗費大量時間進行資料統整,彈指之間即可完全掌握資安問題。

關鍵字