IT管理員中的大多數(shù)人都是自學成才的,并且也會在工作中不斷地學習并成長。雖說多年的IT管理經驗使他們可以應對公司中大多數(shù)的網(wǎng)絡安全挑戰(zhàn)。但壓力其實是無處不在,因為他們負責公司內部各種網(wǎng)絡設備的配置和管理,以及最重要的是維護整個公司網(wǎng)絡架構的安全性和穩(wěn)定性。
讓我們先了解一下IT管理員在工作中的那些典型的‘枯燥’日子,以及了解他們在監(jiān)視公司IT環(huán)境中的安全更改事件和使用安全工具時面臨的常見問題。
有些公司可能會成立一個單獨的安全運營中心(SOC)團隊來監(jiān)視網(wǎng)絡中的安全事件,但是大多數(shù)情況下,SOC團隊的職責說到底還是由IT管理員來完成的。所以無論是誰來擔任網(wǎng)絡安全方面的職責,IT管理員的工作并不會因此而變得簡單 。
為什么及時獲取安全更改事件很重要?
以活動目錄環(huán)境中Windows終端計算機上的密碼攻擊為例。攻擊者可以使用Windows操作系統(tǒng)固有的功能和工具(在本例中為PowerShell)將自己隱藏公司內部網(wǎng)絡內。
檢測密碼猜測攻擊的唯一方法是監(jiān)視網(wǎng)絡中每臺服務器上的登錄事件。密碼猜測攻擊會在一定的時間內產生大量登錄事件,但是諸如Windows中固有的EventViewer之類的本機審核工具無法篩選這些服務器的登錄事件,因此短時間內是注意不到此類攻擊的發(fā)生。
IT管理員面臨的典型的網(wǎng)絡安全挑戰(zhàn)
讓我們看一下IT管理員通常如何度過他們的一天的,以及在他們監(jiān)視網(wǎng)絡中的安全發(fā)生變化時所面臨的挑戰(zhàn)。
星期一早上(一周的新起點):
當我們問到星期一早上到公司的他們做的第一件事是什么時,一位IT管理員無奈地吐槽說:“我發(fā)現(xiàn)周末當我不在時,有人對域進行了一些更改!現(xiàn)在,我正在尋找那些服務器上的異常登錄以及那些被HelpDesk或者部門經理批準的更改行為。”
IT管理員正在尋找的安全更改可能是以下任何內容,例如:
◇服務器甚至域控制器或云目錄(例如Azure)上的簡單登錄
◇對文件和文件夾新賦予的權限
◇屬性更改(例如安全組的成員身份)或更改的安全對象(例如用戶、組或計算機)的管理器
◇為了查看從星期五晚上到星期一早上之間發(fā)生的所有安全事件,IT管理員必須依賴Windows事件查看器。但這些日志數(shù)據(jù)被轉儲到一個位置,并且事件的數(shù)量非常龐大,因此很難獲得對該域中發(fā)生的所有更改的概要圖。
在午飯前:
發(fā)現(xiàn)域環(huán)境的更改非常耗時,一天之中,整個過程有可能需要多達三個小時。而且隨著公司開始采用公共云服務(例如AzureAD)以及傳統(tǒng)的本地基礎架構,這將更加耗時。
為了高效地利用工作時間和資源,IT管理員通常會優(yōu)先處理高優(yōu)先級的工單。
以下是IT管理員在收到的一些工單請求后示例:
如您所見,盡管IT管理員傾向于及時處理工單請求,但懷疑和擔憂會時不時地困擾他們。請求者還會催促管理員盡快解決他們的問題。
經過了一個緊張的周一早晨,發(fā)現(xiàn)域環(huán)境的更改,處理完工單請求后,終于可以在一天中的最佳時機進行午餐了!(這可能是IT管理員享受的唯一的“快樂時光”。)
下午至晚上:
午餐后用于確認網(wǎng)絡中發(fā)生的每個事件是否得到了授權。這通常是一天中最困難的工作,因為這涉及到IT管理員需要調查IT基礎架構的各個部分。例如:
◇特權用戶執(zhí)行了哪些操作?
◇終端用戶是否被授予了IT管理員角色?
◇HelpDesk是否重置了用戶密碼?
◇用戶是否自行重置了自己的密碼?
◇文件中的數(shù)據(jù)是否被修改?
◇是否授予了某些用戶讀取或修改敏感文件或文件夾的權限?
◇某些部門經理更換了嗎?
◇終端用戶是否擁有著某文件夾的所有權?
監(jiān)視以上所有更改至關重要。但是,攻擊者可能會選擇使用更隱蔽或更高級的技術,包括:
◇修改Windows防火墻的入站和出站規(guī)則
◇試圖強行攻擊終端用戶的VPN登錄
◇運行腳本以獲取公司內部的域環(huán)境信息,以此發(fā)現(xiàn)域環(huán)境中的漏洞和特權升級問題
◇創(chuàng)建計劃任務以在系統(tǒng)的注冊表中安裝惡意軟件
◇在核心配置文件夾(例如組策略的SYSVOL文件夾)中引入
◇惡意腳本,并在終端之間傳播該惡意文件
◇向Azure中配置的應用程序授予非法許可,維護后門訪問權限以及更多。
IT管理員面臨的最大挑戰(zhàn)包括變化的IT環(huán)境、不斷增加的用戶和設備數(shù)量、權限修改、訪問和分布在基礎架構中的數(shù)據(jù),以及網(wǎng)絡中各種設備生成的大量日志。
顯然,IT管理員不能僅依靠本機選項來檢測這些安全性更改。該過程涉及大量的手工操作。容易出錯且耗時,有可能會使公司IT環(huán)境安全性更加混亂。
ManageEngine全方位日志管理工具Log360,可以幫助IT管理員實時監(jiān)控IT環(huán)境(例如ActiveDirectory,AzureAD,Windows環(huán)境等)上發(fā)生的各種變化,提供完整的防御策略。
Log360可以收集所有網(wǎng)絡安全事件,也可以對其進行過濾,通過告警機制,及時向IT管理員報告網(wǎng)絡安全更改或直接采取響應措施,極其高效!
