資安JAVA(十五):稽核安全事件 Audit Security Events

來源:John Melton's Weblog
標題:YEAR OF SECURITY FOR JAVA – WEEK 15 – AUDIT SECURITY RELATED EVENTS
作者:John Melton
內文:
Always keep an eye on the system.
What is it and why should I care?
稽核安全性和兩個原則有關,我們將分開介紹。

稽核Auditing
任何軟體系統最重要的一部份就是稽核。儘管紀錄( Logging )和稽核( Auditing )的涵義並不相同,仍有許多人以為是同一件事。兩者詳細定義因地制宜,我的定義則是看處理Output的接收者而定。一般情況,Logs的接收者通常是:為了除錯的開發者、或是為了觀察某些趨勢的企業主。稽核的用途則是讓稽核員重建曾發生在系統上的事件,檢視事件時通常被限制只能觀察到某段時間的內容,而且只有特殊使用者才擁有這種功能。

通常,Logs資料很雜亂、其內容可能指向任何事情。稽核紀錄則是整理過的資料,能以類似資料庫的方式、依據不同欄位檢視資料。

資安事件Security Related Events
你可以根據需要定義資安事件,但有些是公認的資安事件,譬如登入、登出、使用者管理、憑證( Credential )管理。這些都是跟你的使用者有關係的重要資安事件。

知道資安事件已經發生了,是非常重要的。如果沒有,不僅系統會被未授權存取而且你根本不曉得已經發生了。


What should I do about it?


當你想到資安事件,其中一個方法就是稽核。只要跟系統中的安全有關的事件,你就應該稽核那些活動。你應該蒐集事件的屬性,例如事件型態(發生什麼事)、引發者(誰引起的)、時間記錄,好處是你可以依照使用者、時間、功能來過濾龐大的稽核紀錄。井然有序的資料還可以幫助你發現是否有人在下班時間過於認真執行很多功能、或系統中每個使用者同時執行同個功能這類的不正常事件,並整理出不正常事件的規則。你可以在作者參與的專案 OWASP AppSensor 中發現類似的議題。

作者分享一段 Gunnar Peterson 演講的影片,主題是Audit Logging Done Right。影片將介紹稽核的細節和正確稽核帶來的威力。

稽核並不是新的技術,通常被認為不得不做又很無聊的工作。但稽核的威力可以提升系統的可見度,同時井然有序的稽核紀錄能提供很多好處。希望你能妥善管理和運用,你可以先從幾個功能開始稽核紀錄,並發揮它的威力吧。

參考資料
Gunnar Peterson – Audit Logging Done Right : http://vimeo.com/15423426
https://www.owasp.org/index.php/OWASP_AppSensor_Project

———–———–
資安Java: 上一篇 || 下一篇
———–———–

留言

這個網誌中的熱門文章

資安JAVA(十一):X-XSS-Protection

資安JAVA(十):X-Content-Type-Options

資安JAVA(十二):Log Forging