说到终端审计,通常的话题就是是终端审计能记录什么样的信息。但是,如果认为终端审计就是监控和记录,那就走入了终端审计的误区。终端审计的真正目的不是将终端曾经发生过的一切记录下来供日后查询,而是取证分析,检验已经实施的内网安全管理策略是否满足安全管理要求,促进内网安全持续改善。
一、 走出终端审计误区
终端审计的一个重要特征是实现对过去发生过的历史事件的“回溯”。比如:能否监控和记录终端用户浏览过的网站和浏览网站的内容;能否监控和记录终端用户对文件的复制、删除和修改等操作;能否监控和记录终端用户打印了什么文档和打印的文档内容;能否监控到终端用户的MSN、QQ的行为并记录下聊天的内容;能否监控和保存终端用户的终端屏幕画面和内容……
这一特征使得很多人容易陷入这样一个误区,就是终端审计是为了监控和记录。而事实上,监控和记录各类终端行为信息只是终端审计的开始,而不是目的。终端审计的真正目的在于通过对终端一些异常行为进行分析,及时发现内网安全管理的脆弱点,并对一些恶意行为进行取证和警示,保证内网安全渐趋完善。
此外,终端审计作为信息安全审计的一种类型,存在以下与其他类型的审计明显区别的特征:
1. 海量的终端审计数据
—终端数量终端,每一个终端都是一个数据收集点
—终端审计数据种类:网络行为、文件操作、打印等
—终端每天产生的数据都是海量的
—海量的数据淹没了真正有价值的信息
2. 终端身份复杂多变
—终端身份多样:用户名、IP、MAC、主机名、软硬件配置信息等
—终端身份多变:非法盗用账号,非法修改IP、MAC等身份信息等
—终端行为不可控,如果发生网络攻击(例如ARP欺骗)导致大量“虚假”信息
—身份变化导致审计结果“张冠李戴”
—终端身份易变导致审计结果不能真正溯源
终端审计以上特有的特性,如果不能确保审计目标和方法的正确性,将会导致审计结果的高度发散,管理员或审计员将被淹没在审计数据的“海洋”里,既不能有效发现内网中存在的安全漏洞,又不能从检验内网安全管理策略是否适当,也不能对恶意行为进行精确定位,迷失了终端审计“促进内网安全持续改善”的真正终极目标。
二、 终端控制是为了更好的审计
针对终端审计的特征和终端审计用户的真正价值,启明星辰的内网安全管理产品——“天珣内网安全风险管理与审计系统”,重新诠释了终端审计的目标和终端审计的方式。
启明星辰认为,终端审计潜在的“海量数据”和“复杂多变的终端身份”挑战,要求根据终端审计的目标,能够对终端审计结果进行有效控制,摒弃杂乱、无序的“干扰”行为和数据,保留真正有价值或高度相关的终端行为信息,从而能够帮助用户快速有效对内网中的缺陷和恶意行为进行分析和准确定位,促进内网安全持续改善。
为了实现对内网薄弱点或攻击的准入定位,“天珣内网安全风险管理与审计系统”不仅提供从终端“文件操作审计”、“上网行为审计”、“打印审计”、“违规策略事件审计”、“异常路由”、“Windows登录审计”等终端行为相关的信息审计功能,同时更强调以“控制为前提的审计”,即“天珣内网安全风险管理与审计系统”首先借助自身强大的“终端准入控制”、“终端安全控制”、“移动存储管理”和审计模块中具备的“文件操作控制”、“上网行为控制”、“打印控制”等细粒度的终端行为控制,保证只有合法的和安全的终端接入内部网络和安全网络访问,有效杜绝绝大多数违规行为或攻击行为,从而确保终端审计获得的信息更准确、更有效和更可信。
只有通过对准确可靠的审计数据进行分析,才能找出内网中存在的脆弱点和内网安全管理的不足,从而促进及时采取措施或调整已有的内网安全管理系统的安全策略。不能为了审计而监控并记录,而是要先控制后审计,而做好终端安全控制对审计而言,就是为了更好的审计。
图1为“天珣内网安全风险管理与审计系统”的控制与审计的关系示意图。
图1 天珣控制与审计关系示意图
天珣内网安全系统促使内网合规
启明星辰“天珣内网安全风险管理与审计系统”,紧密围绕“合规”,内含企业级主机防火墙系统,通过“终端准入控制、终端安全控制、桌面合规管理、终端泄密控制和终端审计”五维化管理,全面提升内网安全防护能力和合规管理水平。天珣系统引领了内网安全管理模式的新变革,在行使内网安全管理职能的同时,更与天清汉马USG一体化安全网关组成以“网络边界、终端边界”为主要防护目标的UTM平方统一安全套件,协同构建多层次纵深防御体系,改变了“被动的、以事件驱动为特征”的传统内网安全管理模式,开创了“主动防御、合规管理”为目标的内网安全管理新时代。图2为天珣五维内网合规管理模型。
图2 天珣五维内网合规管理模型