深入SOC2.0 安全審計與安管平臺融合

2013-10-22 10:20:35 Net硅谷動力　點擊量：1880 評論 (0)

隨著企業(yè)和組織安全防御不斷向縱深發(fā)展、對加強內(nèi)部安全的重視、以及內(nèi)控與合規(guī)性要求的不斷提升，安全審計技術和產(chǎn)品得到了廣泛的應用。現(xiàn)在，客戶已經(jīng)認識到單一的安全審計產(chǎn)品無法滿足實際要求，需要一套

機和服務器、終端、網(wǎng)絡、數(shù)據(jù)庫、應用和業(yè)務系統(tǒng)審計，以及IT資源的使用者——人。對于審計產(chǎn)品而言，被審計對象也可以看作是被保護對象。據(jù)此，可以分為：

　　（１）設備審計（Device Audit）：對網(wǎng)絡設備、安全設備等各種設備的操作和行為進行審計；

　　（２）主機審計（Host Audit）：審計針對主機（服務器）的各種操作和行為；

　　（３）終端審計（Endpoint Audit）：對終端設備（PC、打印機）等的操作和行為進行審計，包括預配置審計；

　　（４）網(wǎng)絡審計（Network Audit）：對網(wǎng)絡中各種訪問、操作的審計，例如telnet操作、FTP操作，等等；

　　（５）數(shù)據(jù)庫審計（Database Audit）：對數(shù)據(jù)庫行為和操作、甚至操作的內(nèi)容進行審計；

　　（６）業(yè)務系統(tǒng)審計（Business Behavior Audit）：對業(yè)務IT支撐系統(tǒng)的操作、行為、內(nèi)容的審計；

　　（７）用戶行為審計（User Behavior Audit）：對企業(yè)和組織的人進行審計，包括上網(wǎng)行為審計、運維操作審計。

　　有的審計產(chǎn)品針對上述一種對象進行審計，還有的產(chǎn)品綜合上述多種審計對象。

　　從審計采用的技術手段維度來看，為了實現(xiàn)審計目標，通常采用以下幾種審計技術手段：

　　（１）基于日志分析的安全審計技術（Log Analysis Based Audit Technology）

　　一種通過采集被審計或被保護對象運行過程中產(chǎn)生的日志，進行匯總、歸一化和關聯(lián)分析，實現(xiàn)安全審計的目標的技術。這種審計技術具有最大的普適性，是最基本、最經(jīng)濟實用的審計方式，能夠?qū)ψ畲蠓秶腎T資源對象實施審計，并應對大部分的審計需求。在國家等級化保護技術要求中、以及行業(yè)內(nèi)控規(guī)范和指引中都明確提及了這種審計方式。該日志審計類產(chǎn)品在市場上也最為常見。

　　（２）基于本機代理的安全審計技術（Host Agent Based Audit Technology）

　　一種通過在被審計或者被保護對象（稱為“宿主”）之上運行一個特定的軟件代碼，獲取審計所需的信息，然后將信息發(fā)送給審計管理端進行綜合分析，實現(xiàn)審計目標的技術。作為這種技術應用的擴展，采用該技術的審計產(chǎn)品通常還具有對宿主的反向控制功能，改變宿主的運行狀態(tài)，使得其符合既定的安全策略。這種審計技術的審計粒度十分細致，多用于對主機和終端等設備進行審計。目前市場上常見的服務器加固與審計系統(tǒng)、終端安全審計系統(tǒng)都采用這種技術。

　　（３）基于遠程代理的安全審計技術（Remote Agent Based Audit Technology）

　　一種通過一個獨立的審計代理端對被審計對象或者保護對象（宿主）發(fā)出遠程的腳本或者指令，獲取宿主的審計信息，并提交給審計管理端進行分析，實現(xiàn)安全審計目標的技術。這種方式與基于本機代理的技術最大的區(qū)別就在于不需要安裝宿主代理，只需要開放遠程腳本或者指令的通訊接口及其帳號口令。當然，這種審計技術的審計粒度受限于遠程腳本的能力。目前市場上常見的產(chǎn)品有基于漏洞掃描的審計系統(tǒng)、WEB安全審計系統(tǒng)、或者基線配置審核系統(tǒng)。

　　（４）基于網(wǎng)絡協(xié)議分析的安全審計技術（Network Protocol Analysis Based Audit Technology）

　　一種通過采集被審計對象或者被保護對象在網(wǎng)絡環(huán)境下與其他網(wǎng)絡節(jié)點進行通訊過程中產(chǎn)生的網(wǎng)絡通訊報文，進行協(xié)議分析（包括應用層協(xié)議分析），實現(xiàn)審計目標的技術。由于現(xiàn)在用戶基本都實現(xiàn)了網(wǎng)絡互聯(lián)互通，并且該技術對被審計對象的要求較低，對網(wǎng)絡環(huán)境影響較小，因而得到了廣泛的應用，多應用于對IT資源的核心基礎設施（設備、主機、應用和業(yè)務等）和用戶行為進行審計。該審計類型根據(jù)具體技術原理的不同，又可以分為若干種子類型，包括基于旁路偵聽（Sniffer-based）的網(wǎng)絡協(xié)議分析技術、基于代理（Proxy-based）的網(wǎng)絡協(xié)議分析技術，等等。目前市場上常見的產(chǎn)品有NBA（Network Behavior Audit，網(wǎng)絡行為審計）類產(chǎn)品、用戶上網(wǎng)行為審計類產(chǎn)品，以及某些WEB應用防火墻（WAF）。

　　3安全審計產(chǎn)品選型過程

　　通過對安全審計技術和產(chǎn)品的分析，我們不難發(fā)現(xiàn)，客戶為了實現(xiàn)安全審計的目標，首先要將需求進行分解，對應到一組審計對象之上，然后選取最合適的技術手段，從而選定適當?shù)膶徲嫯a(chǎn)品。這也是審計產(chǎn)品選型的推薦過程。