终端审计的真正目的不是将终端曾经发生过的一切记录下来供日后查询,而是取证分析,检验已经实施的内网安全管理策略是否满足安全管理要求,促进内网安全持续改善。
一、 走出终端审计误区
终端审计的一个重要特征是实现对过去发生过的历史事件的“回溯”。比如:能否监控和记录终端用户浏览过的网站和浏览网站的内容;能否监控和记录终端用户对文件的复制、删除和修改等操作;能否监控和记录终端用户打印了什么文档和打印的文档内容;能否监控到终端用户的MSN、QQ的行为并记录下聊天的内容;能否监控和保存终端用户的终端屏幕画面和内容……
这一特征使得很多人容易陷入这样一个误区,就是终端审计是为了监控和记录。而事实上,监控和记录各类终端行为信息只是终端审计的开始,而不是目的。终端审计的真正目的在于通过对终端一些异常行为进行分析,及时发现内网安全管理的脆弱点,并对一些恶意行为进行取证和警示,保证内网安全渐趋完善。
此外,终端审计作为信息安全审计的一种类型,存在以下与其他类型的审计明显区别的特征:
1. 海量的终端审计数据
—终端数量终端,每一个终端都是一个数据收集点
—终端审计数据种类:网络行为、文件操作、打印等
—终端每天产生的数据都是海量的
—海量的数据淹没了真正有价值的信息
2. 终端身份复杂多变
—终端身份多样:用户名、IP、MAC、主机名、软硬件配置信息等
—终端身份多变:非法盗用账号,非法修改IP、MAC等身份信息等
—终端行为不可控,如果发生网络攻击(例如ARP欺骗)导致大量“虚假”信息
—身份变化导致审计结果“张冠李戴”
—终端身份易变导致审计结果不能真正溯源
终端审计以上特有的特性,如果不能确保审计目标和方法的正确性,将会导致审计结果的高度发散,管理员或审计员将被淹没在审计数据的“海洋”里,既不能有效发现内网中存在的安全漏洞,又不能从检验内网安全管理策略是否适当,也不能对恶意行为进行精确定位,迷失了终端审计“促进内网安全持续改善”的真正终极目标。
二、 终端控制是为了更好的审计
针对终端审计的特征和终端审计用户的真正价值,内网安全管理产品重新诠释了终端审计的目标和终端审计的方式。
终端审计潜在的海量数据和复杂多变的终端身份挑战,要求根据终端审计的目标,能够对终端审计结果进行有效控制,摒弃杂乱、无序的“干扰”行为和数据,保留真正有价值或高度相关的终端行为信息,从而能够帮助用户快速有效对内网中的缺陷和恶意行为进行分析和准确定位,促进内网安全持续改善。
为了实现对内网薄弱点或攻击的准入定位,内网安全管理产品不仅能够从终端文件操作审计、上网行为审计、打印审计、违规策略事件审计、异常路由、Windows登录审计”等终端行为相关的信息审计功能,同时更强调以控制为前提的审计。首先借助自身强大的终端准入控制、终端安全控制、移动存储管理和审计模块中具备的文件操作控制、上网行为控制、打印控制等细粒度的终端行为控制,保证只有合法的和安全的终端接入内部网络和安全网络访问,有效杜绝绝大多数违规行为或攻击行为,从而确保终端审计获得的信息更准确、更有效和更可信。
内网安全管理和内网中存在的脆弱点,只有通过对准确可靠的审计数据进行分析,才能被找出,从而促进及时采取措施或调整已有的内网安全管理系统的安全策略。不能为了审计而监控并记录,而是要先控制后审计,而做好终端安全控制对审计而言,就是为了更好的审计。
【编辑推荐】
