几人知晓系统及安全日志审查

IT人在进行故障排查时往往会检查系统、应用或安全相关的日志,特别是类UNIX系统管理员更是如此。而网络安全团队中意的类似SOC、审计等的中央日志管理系统会搜集、筛选、分析和整理关键系统和设备的运行日志,以便提供必要的信息安全事故预测、告警和报告。可是,对于桌面终端的普通用户,有没有必要了解这些理念和掌握这些技能呢?一次内部信息安全意识研讨会上,昆明亭长朗然科技有限公司的资深安全讲师Alice Wong提出这个问题。

尽管桌面安全管理并不难,可以说没有太多“技术含量”,但是却是信息安全管理中最为耗时耗力的工作内容。当形形色色的消费型计算终端出现在工作场所之后,自带计算设备BYOD便应运而生,无疑,这将让桌面安全管理难上加难。

在桌面终端安装客户端引擎,进而通过中央服务台,远程管理终端安全的系统往往会搜集系统的各类运行日志,不过这也不是最终用户需要了解的哦。

那到底有没有必要让桌面终端用户学会基本的日志检查和分析方法呢?这要看具体情况,Alice说,让终端用户学会检查和分析系统日志,除了能够帮助排差电脑故障之外,对信息安全事件的正确响应也会有很大帮助。

如同有的公司怕没有足够电脑经验的用户折腾坏电脑一样,有的公司也担心最终用户在安全响应上帮倒忙,的确,经验不足的用户如果自行调查和处理安全事故,可能会毁掉宝贵的入侵证据。

不过,也有另外一些公司为了节省IT资源,可能鼓励用户在IT问题上主动学习和探索,甚至让高级用户帮助入门用户自行解决简单的问题。当然,表现在信息安全事故处理上也是如此,他们乐意让用户快速报告安全事件和对事件进行简单的诊断,以便能够根据情况分配适当的安全事故响应资源。

孰是孰非?我们不能断下结论,这和企业文化和IT安全环境有关。不过,可以肯定的是,如果信息安全资源不是很充足,安全应急响应团队忙不过来的话,则需要教导最终用户简单的信息安全事故诊断和处理流程,当然系统和安全日志的分析就是必要的环节和步骤了。

几人知晓系统及安全日志审查呢?的确非IT背景的人员中难找出几个,是否需要让员工们知晓一些呢?当然有必要。不过,不需要将这些单独拿出,而在信息安全意识教育活动中,同信息安全事故报告及响应流程一起培训给员工,是正确的解决之道。

信息安全年会关注的焦点是信息安全意识

最近,昆明亭长朗然科技有限公司的一家客户针对全体员工进行了一项年度信息安全意识调查,调查结果令人震惊,几乎没有员工明白安全漏洞和安全威胁的区别,在怀疑或遭遇安全事故时如何正确响应也很不令人乐观。

如果说漏洞、威胁和风险属于专业术语,部分安全从业人员甚至都搞不明白的话,我们更应该原谅这些员工。如果员工在遭遇可疑安全事件时不知如何报告或向谁报告,那显然是安全应急响应体系和流程的缺乏或不足,至少在安全事件报告方面,暴露出安全管理人员未对最终用户进行适当的沟通和培训。

安全管理人员可能会说没有足够的资质来建立安全应急响应体系,拜托,再小的企业也会有突发安全事件吧?何况大些的公司还有专门的安全管理职位和队伍呢!安全应急响应的投入可大可小,但找两个轮流值班的、接电话和查收邮件的保安总可以吧?

为什么要安全应急响应呢?想想如果员工发现工作区域有鬼祟的陌生面孔,立即报告给公司安全部,安全应急响应服务台立即派保安前去盘问和检查好呢?还是员工不当一回事,公司财物丢失了也无人知晓的好呢?

公司的多数安全预算用于购置各类安全设施、安防设备和安全服务,网络信息安全领域也是如此,资源多数花在安全系统和外包安全服务上,而比较忽略内部的安全管理体系如安全流程建设。

提到网络信息安全,人们谈论最多的是病毒和网络黑客,比较少关注信息安全意识。亭长朗然公司的安全顾问James Dong说:就连防病毒和防黑客都不能离开用户的安全意识,更不要说防范内部不满员工和商业间谍等等这些威胁。

针对信息基础架构系统的电子攻击近年来引发政府的关注,水电能源、卫星通讯、交通导航、银行金融等系统在安全等级保护框架下有了较大的改善。甚至在国家层面已经开始关注和谈论互联网战争和网络恐怖活动,这都彰显出国家在信息安全方面已经牢牢掌握主导权。

不能忽视的是在信息安全方面,也同样存在国进民退和国强民弱之说,在国家牢牢控制互联网安全核心架构体系之时,关于信息安全的立法、司法和监管日益成熟。而老百姓的互联网安全能力提升明显偏慢,显然与全球发达国家国民的安全素质差距甚远,甚至有网络观察员称中国的互联网是一小拨网络暴徒绑架着大量无知的普通网民,这和互联网大国的地位很不匹配,而且这样下去无疑将严重影响信息社会的健康发展。

回到亭长朗然公司的这家客户,在分析调查报告结果之后,安全管理团队进行了适当的检讨,认为有必要改进安全应急响应体系,并且加强对全体员工进行信息安全意识教育,特别是强化安全事件的报告。公司安全管理团队为此专门举办了为期一周的信息安全年会,年会后对员工进行随机抽样调查和社会攻击学攻击渗透测试,结果证明:通过培训,被调查员工了解到哪些是信息安全事件,该向谁报告安全事件。有趣的是,针对同一名员工的两次社交工程渗透攻击都被识破并及时报告给了安全服务台,两次的不同是这名员工第一次交谈时显得很腼腆,满脸通红;第二次已经显得很“理直气壮”。

员工的安全意识得到了质的提升,这正是信息安全年会的目标。短短两周的时间,这家公司的信息安全部门已经通过员工的及时报告,快速响应,挽回了一起可能造成重大损失的信息安全悲剧,这起真实的事件得以成功处理,不得不感谢信息安全年会的举办和信息安全事故场景的模拟演练。