深入SOC2.0 安全審計(jì)與安管平臺(tái)融合

2013-10-22 10:20:35 Net硅谷動(dòng)力　點(diǎn)擊量：評(píng)論 (0)

隨著企業(yè)和組織安全防御不斷向縱深發(fā)展、對(duì)加強(qiáng)內(nèi)部安全的重視、以及內(nèi)控與合規(guī)性要求的不斷提升，安全審計(jì)技術(shù)和產(chǎn)品得到了廣泛的應(yīng)用。現(xiàn)在，客戶已經(jīng)認(rèn)識(shí)到單一的安全審計(jì)產(chǎn)品無(wú)法滿足實(shí)際要求，需要一套

析技術(shù)、基于代理（Proxy-based）的網(wǎng)絡(luò)協(xié)議分析技術(shù)，等等。目前市場(chǎng)上常見(jiàn)的產(chǎn)品有NBA（Network Behavior Audit，網(wǎng)絡(luò)行為審計(jì)）類產(chǎn)品、用戶上網(wǎng)行為審計(jì)類產(chǎn)品，以及某些WEB應(yīng)用防火墻（WAF）。

　　3安全審計(jì)產(chǎn)品選型過(guò)程

　　通過(guò)對(duì)安全審計(jì)技術(shù)和產(chǎn)品的分析，我們不難發(fā)現(xiàn)，客戶為了實(shí)現(xiàn)安全審計(jì)的目標(biāo)，首先要將需求進(jìn)行分解，對(duì)應(yīng)到一組審計(jì)對(duì)象之上，然后選取最合適的技術(shù)手段，從而選定適當(dāng)?shù)膶徲?jì)產(chǎn)品。這也是審計(jì)產(chǎn)品選型的推薦過(guò)程。

　　審計(jì)對(duì)象和審計(jì)技術(shù)手段已經(jīng)詳細(xì)闡述過(guò)，這里，審計(jì)目標(biāo)就是IT安全審計(jì)定義中的目標(biāo)，包括：

　　判定現(xiàn)有IT安全控制的有效性；

　　檢查IT系統(tǒng)的誤用和濫用行為；

　　驗(yàn)證當(dāng)前安全策略的合規(guī)性；

　　獲取犯罪和違規(guī)的證據(jù)；

　　確認(rèn)必要的記錄被文檔化；

　　檢測(cè)網(wǎng)絡(luò)異常和入侵。

　　針對(duì)不同的審計(jì)目標(biāo)，審計(jì)需求分解會(huì)不一樣，進(jìn)而審計(jì)對(duì)象和技術(shù)的選擇也會(huì)有所不同。對(duì)于不同的審計(jì)對(duì)象，每種審計(jì)手段都各有利弊。

對(duì)比兩個(gè)模型，可以發(fā)現(xiàn)，本質(zhì)上，統(tǒng)一安全審計(jì)模型就是統(tǒng)一管理平臺(tái)（SOC2.0）的一個(gè)縱向子集，只是更加關(guān)注于審計(jì)這個(gè)功能維度而已。此外，由于SOC2.0模型本身具備可裁剪性，因而這種融合也具有了可行性。如下圖所示，展示了統(tǒng)一安全審計(jì)在SOC2.0中的映射關(guān)系：

　　圖：安全審計(jì)與安全管理平臺(tái)的融合

　　通過(guò)安全審計(jì)與安全管理平臺(tái)的融合，使得安全審計(jì)體系的建設(shè)與安全管理體系的建設(shè)目標(biāo)達(dá)成了一致，有助于企業(yè)整體安全體系的形成和完善。對(duì)于客戶而言，下一代的安全管理平臺(tái)（SOC2.0）始終是IT管理的終極管理平臺(tái)、一體化的平臺(tái)。

　　此外，借助統(tǒng)一安全審計(jì)體系與SOC2.0的整合，傳統(tǒng)的對(duì)象安全審計(jì)提升到了業(yè)務(wù)安全審計(jì)的層面，更加體現(xiàn)出了統(tǒng)一安全審計(jì)給客戶的價(jià)值。例如，借助SOC2.0的關(guān)聯(lián)分析引擎和業(yè)務(wù)規(guī)則描述語(yǔ)言，用戶可以定義如下的業(yè)務(wù)審計(jì)規(guī)則，并真正得以執(zhí)行：

　　所有業(yè)務(wù)系統(tǒng)A的維護(hù)終端群只能在工作時(shí)間以維護(hù)人員帳號(hào)集的身份訪問(wèn)業(yè)務(wù)系統(tǒng)A的核心數(shù)據(jù)庫(kù)服務(wù)器機(jī)群；

　　只有業(yè)務(wù)系統(tǒng)A的中間件X可以以middle帳號(hào)24×7訪問(wèn)核心數(shù)據(jù)庫(kù)服務(wù)器；

　　……

　　SOC2.0基于規(guī)則的關(guān)聯(lián)分析引擎能夠?qū)I(yè)務(wù)規(guī)則描述轉(zhuǎn)化為針對(duì)具體資產(chǎn)對(duì)象的審計(jì)規(guī)則，并根據(jù)從專項(xiàng)的日志審計(jì)產(chǎn)品、終端審計(jì)產(chǎn)品、數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品和應(yīng)用審計(jì)產(chǎn)品中收集上來(lái)的信息進(jìn)行關(guān)聯(lián)分析，進(jìn)行審計(jì)規(guī)則匹配，發(fā)現(xiàn)違規(guī)行為并進(jìn)行告警和響應(yīng)。

　　6實(shí)例分析：網(wǎng)御神州SecFox安全管理與審計(jì)解決方案

　　網(wǎng)御神州根據(jù)用戶的需求，以及自身在安全管理與審計(jì)領(lǐng)域的長(zhǎng)期積累，在SOC2.0的代表性產(chǎn)品SecFox-UMS統(tǒng)一管理系統(tǒng)的基礎(chǔ)上提出了SecFox統(tǒng)一安全審計(jì)解決方案。該解決方案能夠?qū)θW(wǎng)各種對(duì)象和行為進(jìn)行審計(jì)，同時(shí)充分考慮到審計(jì)的針對(duì)性和可行性，并提供給用戶一套統(tǒng)一的審計(jì)中心和審計(jì)界面。

　　SecFox統(tǒng)一安全審計(jì)解決方案包括四個(gè)部分：日志審計(jì)、網(wǎng)絡(luò)行為審計(jì)、終端審計(jì)和統(tǒng)一安全審計(jì)平臺(tái)。

　　1）日志審計(jì)

　　日志審計(jì)是整個(gè)綜合安全審計(jì)解決方案的核心和基礎(chǔ)。IT網(wǎng)絡(luò)中大部分的設(shè)備和系統(tǒng)都能夠產(chǎn)生日志，這些日志能夠反映網(wǎng)絡(luò)、訪問(wèn)者，以及設(shè)備或系統(tǒng)自身的操作和行為。網(wǎng)神SecFox-LAS日志審計(jì)系統(tǒng)能夠?qū)⑦@些日志統(tǒng)一的收集起來(lái)，進(jìn)行歸一化和關(guān)聯(lián)分析，實(shí)現(xiàn)全網(wǎng)IT環(huán)境的集中安全審計(jì)。通過(guò)SecFox-LAS日志審計(jì)系統(tǒng)，用戶能夠?qū)崿F(xiàn)大部分的安全審計(jì)目標(biāo)。

　　2）網(wǎng)絡(luò)行為審計(jì)

對(duì)于用戶IT網(wǎng)絡(luò)中比較重要的區(qū)域，或者關(guān)鍵的業(yè)務(wù)系統(tǒng)，僅僅借助系統(tǒng)日志進(jìn)行審計(jì)是不充分的，有時(shí)候也是不可行的。例如某些業(yè)務(wù)系統(tǒng)本身沒(méi)有日志記錄功能，或者某些業(yè)務(wù)系統(tǒng)由于其自身重要性不能運(yùn)行日志采集器，等等。此外，針對(duì)網(wǎng)絡(luò)中用戶訪問(wèn)互聯(lián)網(wǎng)的行為，通過(guò)傳統(tǒng)的日志審計(jì)手段也遠(yuǎn)遠(yuǎn)不夠。此時(shí)，可以通過(guò)網(wǎng)絡(luò)硬件探測(cè)器的形式對(duì)這些業(yè)務(wù)系統(tǒng)和用戶的操作行為進(jìn)行審計(jì)。網(wǎng)絡(luò)硬件探測(cè)器采用旁路部署（共享Hub/交換機(jī)端口鏡像/網(wǎng)絡(luò)分接TAP）的方式放置在交換機(jī)旁邊，偵聽(tīng)并分析網(wǎng)絡(luò)訪問(wèn)操作的

上一頁(yè) 1 2 3 4 5 6 下一頁(yè)

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊