IT管理員中的大多數人都是自學成才的,并且也會在工作中不斷地學習并成長。雖說多年的IT管理經驗使他們可以應對公司中大多數的網絡安全挑戰。但壓力其實是無處不在,因為他們負責公司內部各種網絡設備的配置和管理,以及最重要的是維護整個公司網絡架構的安全性和穩定性。
讓我們先了解一下IT管理員在工作中的那些典型的‘枯燥’日子,以及了解他們在監視公司IT環境中的安全更改事件和使用安全工具時面臨的常見問題。
有些公司可能會成立一個單獨的安全運營中心(SOC)團隊來監視網絡中的安全事件,但是大多數情況下,SOC團隊的職責說到底還是由IT管理員來完成的。所以無論是誰來擔任網絡安全方面的職責,IT管理員的工作并不會因此而變得簡單 。
為什么及時獲取安全更改事件很重要?
以活動目錄環境中Windows終端計算機上的密碼攻擊為例。攻擊者可以使用Windows操作系統固有的功能和工具(在本例中為PowerShell)將自己隱藏公司內部網絡內。
檢測密碼猜測攻擊的唯一方法是監視網絡中每臺服務器上的登錄事件。密碼猜測攻擊會在一定的時間內產生大量登錄事件,但是諸如Windows中固有的EventViewer之類的本機審核工具無法篩選這些服務器的登錄事件,因此短時間內是注意不到此類攻擊的發生。
IT管理員面臨的典型的網絡安全挑戰
讓我們看一下IT管理員通常如何度過他們的一天的,以及在他們監視網絡中的安全發生變化時所面臨的挑戰。
星期一早上(一周的新起點):
當我們問到星期一早上到公司的他們做的第一件事是什么時,一位IT管理員無奈地吐槽說:“我發現周末當我不在時,有人對域進行了一些更改!現在,我正在尋找那些服務器上的異常登錄以及那些被HelpDesk或者部門經理批準的更改行為。”
IT管理員正在尋找的安全更改可能是以下任何內容,例如:
◇服務器甚至域控制器或云目錄(例如Azure)上的簡單登錄
◇對文件和文件夾新賦予的權限
◇屬性更改(例如安全組的成員身份)或更改的安全對象(例如用戶、組或計算機)的管理器
◇為了查看從星期五晚上到星期一早上之間發生的所有安全事件,IT管理員必須依賴Windows事件查看器。但這些日志數據被轉儲到一個位置,并且事件的數量非常龐大,因此很難獲得對該域中發生的所有更改的概要圖。
在午飯前:
發現域環境的更改非常耗時,一天之中,整個過程有可能需要多達三個小時。而且隨著公司開始采用公共云服務(例如AzureAD)以及傳統的本地基礎架構,這將更加耗時。
為了高效地利用工作時間和資源,IT管理員通常會優先處理高優先級的工單。
以下是IT管理員在收到的一些工單請求后示例:
如您所見,盡管IT管理員傾向于及時處理工單請求,但懷疑和擔憂會時不時地困擾他們。請求者還會催促管理員盡快解決他們的問題。
經過了一個緊張的周一早晨,發現域環境的更改,處理完工單請求后,終于可以在一天中的最佳時機進行午餐了!(這可能是IT管理員享受的唯一的“快樂時光”。)
下午至晚上:
午餐后用于確認網絡中發生的每個事件是否得到了授權。這通常是一天中最困難的工作,因為這涉及到IT管理員需要調查IT基礎架構的各個部分。例如:
◇特權用戶執行了哪些操作?
◇終端用戶是否被授予了IT管理員角色?
◇HelpDesk是否重置了用戶密碼?
◇用戶是否自行重置了自己的密碼?
◇文件中的數據是否被修改?
◇是否授予了某些用戶讀取或修改敏感文件或文件夾的權限?
◇某些部門經理更換了嗎?
◇終端用戶是否擁有著某文件夾的所有權?
監視以上所有更改至關重要。但是,攻擊者可能會選擇使用更隱蔽或更高級的技術,包括:
◇修改Windows防火墻的入站和出站規則
◇試圖強行攻擊終端用戶的VPN登錄
◇運行腳本以獲取公司內部的域環境信息,以此發現域環境中的漏洞和特權升級問題
◇創建計劃任務以在系統的注冊表中安裝惡意軟件
◇在核心配置文件夾(例如組策略的SYSVOL文件夾)中引入
◇惡意腳本,并在終端之間傳播該惡意文件
◇向Azure中配置的應用程序授予非法許可,維護后門訪問權限以及更多。
IT管理員面臨的最大挑戰包括變化的IT環境、不斷增加的用戶和設備數量、權限修改、訪問和分布在基礎架構中的數據,以及網絡中各種設備生成的大量日志。
顯然,IT管理員不能僅依靠本機選項來檢測這些安全性更改。該過程涉及大量的手工操作。容易出錯且耗時,有可能會使公司IT環境安全性更加混亂。
ManageEngine全方位日志管理工具Log360,可以幫助IT管理員實時監控IT環境(例如ActiveDirectory,AzureAD,Windows環境等)上發生的各種變化,提供完整的防御策略。
Log360可以收集所有網絡安全事件,也可以對其進行過濾,通過告警機制,及時向IT管理員報告網絡安全更改或直接采取響應措施,極其高效!
