為什么事件響應中日志總是不夠用？

安全事件發生時，響應團隊經常面臨同樣的窘境：缺乏可用的日志。在缺乏日志和配置糟糕之間，企業往往比想象的還要盲目，直到網絡攻擊事件將殘酷的真相擺在眼前。 

日志就是存儲計算機系統或應用程序中各事件操作的文件。盡管相當簡單，事件日志卻是安全分析師確定網絡安全事件原因、性質和影響的主要信息來源。然而，此類文件卻常常缺失，甚至根本不存在。

而且，日志缺乏并非什么秘密。大多數事件響應人員都認為，如果從一開始就有合適的日志可用，他們的響應速度會快上許多；但通常，他們拿不到合適的日志。

最令人驚訝的是，系統管理員只有在事件發生后才會意識到自己極其缺乏日志。這導致根源分析往往需要事后取證，而不是立即采取行動。此外，取證分析師常常需要花費相當長的時間來確定攻擊的范圍。更糟的是，有時候甚至開展不了全面分析，因為根本沒有收集合適的信息，更別說存儲足夠長的時間了（被覆蓋）。  

情況怎么就變成這樣了呢？我們不妨分析一下為什么這么多企業的日志管理策略不足，以及該如何在網絡事件發生前解決這一問題。  

默認設置導致安全失敗 

現實情況就是，只有極少數企業實現了真正的日志策略。企業的日志計劃往往按默認配置執行：只生成最基本的日志，且設為覆蓋模式以節省存儲空間。他們的想法是這樣可以只保存最有用的信息。然而，只取“最小公因數”的做法并不能總是滿足企業的網絡安全需求。 

由于各產品本地生成日志（管理員往往不知道在哪兒），缺乏集中日志的狀況使得發現網絡攻擊的過程更加復雜了。通常，發生安全事件時，IT部門并沒有準備好響應事件響應團隊的請求。因為無法確定受影響IP上是哪臺機器或哪位用戶，企業難以斷定事件是怎么發生的，也無法確定對網絡的影響有多大。 

所以，即使管理員重定向到中央日志服務也無濟于事。他們需要收集所有日志，并將日志設置為審計和詳細級別。這是兩個經常被忽略的設置選項。企業并不記錄真實數據，而是存儲通用的“啟動”和“停止”操作，表示某個軟件被打開和關閉，毫無任何細節，不收集諸如“用戶‘黑客’啟動了Y程序”和“用戶‘黑客’將文件復制到X共享位置”之類的安全事件。

若說缺乏日志和信息受限本身還不夠無能為力，那權限被盜就更心塞了。如果沒有恰當的日志策略，相應賬戶就可以刪除或者篡改可用日志。一旦這種賬戶被盜，攻擊者就能夠清除日志中最有用的信息，給事件調查制造麻煩，甚至讓調查根本無法進行。  

創建有效日志策略 

確定有效的日志策略是強大事件響應計劃的關鍵。日志策略因公司及其信息系統的敏感度而異。此外，日志本身也需受到保護。問題在于，企業需要來自所有系統、云、本地、混合或應用的收集器，且須可在單一位置聚合和搜索。這些同樣需要受到保護，想想過去10年來最臭名昭著的數據泄露事件都涉及不安全日志就知道該怎么做了。

企業拿到日志后需加以審核，并組織一些桌面推演，嘗試利用日志來標識活動。這么做可以幫助企業團隊理解為什么通過單一接口發起對所有日志的查詢可以倍增有效性，并將干預時間縮短好幾天。 

實現特權賬戶特殊監測也很重要，這樣可以確保記錄下特權事件。特別監測特權賬戶的目標是擁有足夠的事件來記錄整個會話，方便確定管理員或特權賬戶執行的操作。通常，如果沒有審慎考慮，會缺失成百上千的關鍵事件。通過設置專用解決方案長期（一年以上而非僅90天）保存來自各個系統的日志，IT團隊可以確保擁有恰當分析事件的足夠資源。

強大的日志策略并非全新概念，但如果企業忽視了日志，那就只能坐等網絡攻擊上門時不知所措了。實現堅實的日志策略不僅能讓企業快速有效響應危機，還可以加速解析事件根源。