深入SOC2.0 安全審計與安管平臺融合

2013-10-22 10:20:35 Net硅谷動力　點擊量：評論 (0)

隨著企業(yè)和組織安全防御不斷向縱深發(fā)展、對加強內(nèi)部安全的重視、以及內(nèi)控與合規(guī)性要求的不斷提升，安全審計技術(shù)和產(chǎn)品得到了廣泛的應用?，F(xiàn)在，客戶已經(jīng)認識到單一的安全審計產(chǎn)品無法滿足實際要求，需要一套

析技術(shù)、基于代理（Proxy-based）的網(wǎng)絡協(xié)議分析技術(shù)，等等。目前市場上常見的產(chǎn)品有NBA（Network Behavior Audit，網(wǎng)絡行為審計）類產(chǎn)品、用戶上網(wǎng)行為審計類產(chǎn)品，以及某些WEB應用防火墻（WAF）。

　　3安全審計產(chǎn)品選型過程

　　通過對安全審計技術(shù)和產(chǎn)品的分析，我們不難發(fā)現(xiàn)，客戶為了實現(xiàn)安全審計的目標，首先要將需求進行分解，對應到一組審計對象之上，然后選取最合適的技術(shù)手段，從而選定適當?shù)膶徲嫯a(chǎn)品。這也是審計產(chǎn)品選型的推薦過程。

　　審計對象和審計技術(shù)手段已經(jīng)詳細闡述過，這里，審計目標就是IT安全審計定義中的目標，包括：

　　判定現(xiàn)有IT安全控制的有效性；

　　檢查IT系統(tǒng)的誤用和濫用行為；

　　驗證當前安全策略的合規(guī)性；

　　獲取犯罪和違規(guī)的證據(jù)；

　　確認必要的記錄被文檔化；

　　檢測網(wǎng)絡異常和入侵。

　　針對不同的審計目標，審計需求分解會不一樣，進而審計對象和技術(shù)的選擇也會有所不同。對于不同的審計對象，每種審計手段都各有利弊。

對比兩個模型，可以發(fā)現(xiàn)，本質(zhì)上，統(tǒng)一安全審計模型就是統(tǒng)一管理平臺（SOC2.0）的一個縱向子集，只是更加關注于審計這個功能維度而已。此外，由于SOC2.0模型本身具備可裁剪性，因而這種融合也具有了可行性。如下圖所示，展示了統(tǒng)一安全審計在SOC2.0中的映射關系：

　　圖：安全審計與安全管理平臺的融合

　　通過安全審計與安全管理平臺的融合，使得安全審計體系的建設與安全管理體系的建設目標達成了一致，有助于企業(yè)整體安全體系的形成和完善。對于客戶而言，下一代的安全管理平臺（SOC2.0）始終是IT管理的終極管理平臺、一體化的平臺。

　　此外，借助統(tǒng)一安全審計體系與SOC2.0的整合，傳統(tǒng)的對象安全審計提升到了業(yè)務安全審計的層面，更加體現(xiàn)出了統(tǒng)一安全審計給客戶的價值。例如，借助SOC2.0的關聯(lián)分析引擎和業(yè)務規(guī)則描述語言，用戶可以定義如下的業(yè)務審計規(guī)則，并真正得以執(zhí)行：

　　所有業(yè)務系統(tǒng)A的維護終端群只能在工作時間以維護人員帳號集的身份訪問業(yè)務系統(tǒng)A的核心數(shù)據(jù)庫服務器機群；

　　只有業(yè)務系統(tǒng)A的中間件X可以以middle帳號24×7訪問核心數(shù)據(jù)庫服務器；

　　……

　　SOC2.0基于規(guī)則的關聯(lián)分析引擎能夠?qū)I(yè)務規(guī)則描述轉(zhuǎn)化為針對具體資產(chǎn)對象的審計規(guī)則，并根據(jù)從專項的日志審計產(chǎn)品、終端審計產(chǎn)品、數(shù)據(jù)庫審計產(chǎn)品和應用審計產(chǎn)品中收集上來的信息進行關聯(lián)分析，進行審計規(guī)則匹配，發(fā)現(xiàn)違規(guī)行為并進行告警和響應。

　　6實例分析：網(wǎng)御神州SecFox安全管理與審計解決方案

　　網(wǎng)御神州根據(jù)用戶的需求，以及自身在安全管理與審計領域的長期積累，在SOC2.0的代表性產(chǎn)品SecFox-UMS統(tǒng)一管理系統(tǒng)的基礎上提出了SecFox統(tǒng)一安全審計解決方案。該解決方案能夠?qū)θW(wǎng)各種對象和行為進行審計，同時充分考慮到審計的針對性和可行性，并提供給用戶一套統(tǒng)一的審計中心和審計界面。

　　SecFox統(tǒng)一安全審計解決方案包括四個部分：日志審計、網(wǎng)絡行為審計、終端審計和統(tǒng)一安全審計平臺。

　　1）日志審計

　　日志審計是整個綜合安全審計解決方案的核心和基礎。IT網(wǎng)絡中大部分的設備和系統(tǒng)都能夠產(chǎn)生日志，這些日志能夠反映網(wǎng)絡、訪問者，以及設備或系統(tǒng)自身的操作和行為。網(wǎng)神SecFox-LAS日志審計系統(tǒng)能夠?qū)⑦@些日志統(tǒng)一的收集起來，進行歸一化和關聯(lián)分析，實現(xiàn)全網(wǎng)IT環(huán)境的集中安全審計。通過SecFox-LAS日志審計系統(tǒng)，用戶能夠?qū)崿F(xiàn)大部分的安全審計目標。

　　2）網(wǎng)絡行為審計

對于用戶IT網(wǎng)絡中比較重要的區(qū)域，或者關鍵的業(yè)務系統(tǒng)，僅僅借助系統(tǒng)日志進行審計是不充分的，有時候也是不可行的。例如某些業(yè)務系統(tǒng)本身沒有日志記錄功能，或者某些業(yè)務系統(tǒng)由于其自身重要性不能運行日志采集器，等等。此外，針對網(wǎng)絡中用戶訪問互聯(lián)網(wǎng)的行為，通過傳統(tǒng)的日志審計手段也遠遠不夠。此時，可以通過網(wǎng)絡硬件探測器的形式對這些業(yè)務系統(tǒng)和用戶的操作行為進行審計。網(wǎng)絡硬件探測器采用旁路部署（共享Hub/交換機端口鏡像/網(wǎng)絡分接TAP）的方式放置在交換機旁邊，偵聽并分析網(wǎng)絡訪問操作的