,,

為啥我們要有日志審計(jì)和日志管理服務(wù)能力

當(dāng)前位置：點(diǎn)晴教程→知識(shí)管理交流 →『企業(yè)管理交流』

admin

2024年9月6日 7:29 本文熱度 1652

前幾天給某大廠“跑腿”，去檢查這些大廠下轄的服務(wù)供應(yīng)商安全能力，其中有一條比較重要——“是否有日志審計(jì)和日志管理服務(wù)能力”。

看到這個(gè)，我有點(diǎn)好奇了，于是查了一下有哪些地方強(qiáng)調(diào)了這個(gè)要求。

羅列一下我查到的相關(guān)要求哈：

1、一些大廠和大機(jī)構(gòu)要求自己管轄范圍供應(yīng)商或分支機(jī)構(gòu)要有這個(gè)能力；

2、“網(wǎng)絡(luò)安全法”要求我們具備這個(gè)能力；

3、等保和通保要求我們具備這個(gè)能力；

4、GDPR、PCI DSS、ISO 27001要求我們具備這個(gè)能力；

5、其他（應(yīng)該還有，我就不去再查了）；

為啥大家都這么強(qiáng)調(diào)日志審計(jì)和日志管理服務(wù)能力呢？

我默想了一下，又查閱了一些文章，歸納起來(lái)應(yīng)該有如下一些原因：

可以檢測(cè)和響應(yīng)安全事件

日志會(huì)記錄網(wǎng)絡(luò)和系統(tǒng)活動(dòng)的詳細(xì)信息，比如登錄事件、文件訪問(wèn)、系統(tǒng)錯(cuò)誤等。通過(guò)分析這些日志，可以檢測(cè)到異常行為或潛在的攻擊，如未授權(quán)的訪問(wèn)、惡意軟件活動(dòng)和數(shù)據(jù)泄露。日志審計(jì)分析可以幫助安全團(tuán)隊(duì)快速識(shí)別并響應(yīng)安全事件，減少潛在損失和影響。

滿足合規(guī)性要求

前面也說(shuō)了等保和網(wǎng)安法等相關(guān)要求

支持調(diào)查和取證分析

當(dāng)發(fā)生安全事件或數(shù)據(jù)泄露時(shí)，日志是重要的調(diào)查工具。可以提供詳細(xì)的事件發(fā)生時(shí)間線，對(duì)于確定攻擊源、分析攻擊手法以及制定補(bǔ)救措施非常重要。它也能為法律訴訟或內(nèi)部審計(jì)提供有力的證據(jù)。

持續(xù)監(jiān)控和改進(jìn)安全態(tài)勢(shì)

日志管理可以提供對(duì)系統(tǒng)運(yùn)行狀態(tài)的實(shí)時(shí)視圖，有助于持續(xù)監(jiān)控安全態(tài)勢(shì)。通過(guò)持續(xù)的日志審查，組織可以識(shí)別常見(jiàn)的安全弱點(diǎn)和趨勢(shì)，改進(jìn)現(xiàn)有的安全策略和措施，增強(qiáng)整體防御能力。

提升系統(tǒng)性能和問(wèn)題排查

日志不僅記錄安全相關(guān)事件，也包括系統(tǒng)性能和錯(cuò)誤信息。這些日志對(duì)于排查系統(tǒng)故障、優(yōu)化性能非常有幫助。通過(guò)分析系統(tǒng)日志，可以快速定位和解決系統(tǒng)問(wèn)題，減少停機(jī)時(shí)間和運(yùn)營(yíng)中斷。

防止內(nèi)部威脅和濫用行為

內(nèi)部威脅，如員工濫用權(quán)限或進(jìn)行不當(dāng)行為，往往難以通過(guò)外部防御機(jī)制檢測(cè)到。日志管理可以幫助監(jiān)控內(nèi)部用戶的活動(dòng)，并在發(fā)現(xiàn)異常時(shí)立即采取行動(dòng)，從而防止內(nèi)部濫用和數(shù)據(jù)泄露。

自動(dòng)化和警報(bào)管理

日志管理系統(tǒng)可以通過(guò)自動(dòng)化規(guī)則和機(jī)器學(xué)習(xí)技術(shù)來(lái)分析日志數(shù)據(jù)，并生成警報(bào)。自動(dòng)化減少了人工審查的負(fù)擔(dān)，還可以提高響應(yīng)速度。

除了這些通用的一般性大框架的功能作用，不同的機(jī)構(gòu)又不同的訴求。比如我文章開(kāi)頭提到的大廠，這家國(guó)內(nèi)大廠是做電商的，所以它們就希望供應(yīng)商必須保留解密接口調(diào)用、訂單操作、用戶登錄認(rèn)證、數(shù)據(jù)庫(kù)關(guān)鍵操作這些日志，而且要180天。因?yàn)檫@些內(nèi)容是它非常看重的部分，至于其他的Web訪問(wèn)日志啥的，它并不做要求。但是通保這類合規(guī)要求又會(huì)強(qiáng)調(diào)要有Web訪問(wèn)日志。

所以，站在不同的角度，還存在一些要求重點(diǎn)的傾斜。

既然要做，那么怎么就叫有了日志審計(jì)和日志管理服務(wù)能力呢？

主要看下面這些方面：

1、日志收集，能不能從多個(gè)源（比如服務(wù)器啊、網(wǎng)絡(luò)設(shè)備啊、應(yīng)用啊）自動(dòng)收集日志數(shù)據(jù)；

2、日志存儲(chǔ)，能不能安全可擴(kuò)展的存儲(chǔ)日志，滿足180天所需；

3、日志分析，是否可以用工具和機(jī)器學(xué)習(xí)等技術(shù)分析日志，識(shí)別異常行為、安全威脅和性能問(wèn)題。

4、是否有搜索和查詢功能，可以快速找到特定的日志條目（想想看，白花花一片的日志擺在你面前，沒(méi)有搜索功能，你是不是只剩茫茫然了）

5、用戶和權(quán)限管理，實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制，確保只有授權(quán)用戶才能訪問(wèn)日志數(shù)據(jù)。

6、有警報(bào)機(jī)制，能夠在檢測(cè)到可疑活動(dòng)或安全事件時(shí)及時(shí)通知相關(guān)人員。

當(dāng)然，還可以有更高階的日志管理服務(wù)能力，比如和其他安全工具（SOC、SIEM、態(tài)勢(shì)感知、安管平臺(tái)）等集成，形成可視化等安全管理視圖等，這里就不再贅述了。

THE END

該文章在 2024/9/10 10:39:37 編輯過(guò)