美國國家安全局 (NSA) 發(fā)布了跨云服務(wù)、企業(yè)網(wǎng)絡(luò)、移動設(shè)備和運(yùn)營技術(shù) (OT) 網(wǎng)絡(luò)的事件日志和威脅檢測最佳實(shí)踐，以確保重要系統(tǒng)的持續(xù)交付。

該網(wǎng)絡(luò)安全信息表 (CSI) 是與澳大利亞信號局的澳大利亞網(wǎng)絡(luò)安全中心 (ASD ACSC) 等國際合著者合作發(fā)布的。

該指南旨在支持企業(yè)中的 IT 和網(wǎng)絡(luò)員工防御使用離地生存 (LOTL) 技術(shù)的威脅行為者。

它還在考慮資源限制的同時，為提高組織在當(dāng)前網(wǎng)絡(luò)威脅環(huán)境中的恢復(fù)能力提供了建議。

事件記錄和威脅檢測的四個最佳實(shí)踐

高效的事件日志系統(tǒng)應(yīng)該能夠識別網(wǎng)絡(luò)安全事件，例如基本軟件配置的更改，在發(fā)生這些事件時提供警報，關(guān)注帳戶合規(guī)性，并保證日志和日志記錄平臺的性能和可用性。

在追求日志記錄的最佳實(shí)踐時，請牢記以下四個因素：

• 企業(yè)批準(zhǔn)的事件記錄策略
• 集中事件日志訪問和關(guān)聯(lián)
• 安全存儲和事件日志完整性
• 相關(guān)威脅檢測策略

1.企業(yè)日志記錄政策：網(wǎng)絡(luò)安全的戰(zhàn)略舉措

創(chuàng)建和執(zhí)行企業(yè)批準(zhǔn)的日志記錄策略可增強(qiáng)組織識別系統(tǒng)上欺詐活動的能力，并確保所有環(huán)境都使用相同的日志記錄技術(shù)。日志記錄政策應(yīng)該考慮組織與其服務(wù)提供商之間的任何共享職責(zé)。 

此外，該政策應(yīng)指定要記錄哪些事件、如何監(jiān)控事件日志、保留多長時間以及何時重新評估應(yīng)保留哪些日志。

制定和實(shí)施企業(yè)認(rèn)可的日志記錄策略對于檢測惡意行為和確保整個組織環(huán)境的一致性至關(guān)重要。有效日志記錄策略的關(guān)鍵組成部分包括：

• 事件日志質(zhì)量：專注于捕獲高質(zhì)量的網(wǎng)絡(luò)安全事件，而不僅僅是格式良好的日志。高質(zhì)量的日志可幫助網(wǎng)絡(luò)防御者準(zhǔn)確識別和應(yīng)對事件。
• 詳細(xì)的捕獲事件日志：日志應(yīng)包括時間戳、事件類型、設(shè)備標(biāo)識符、IP 地址、用戶 ID 和執(zhí)行的命令等基本詳細(xì)信息。這些信息對于有效的威脅檢測和事件響應(yīng)至關(guān)重要。
• 運(yùn)營技術(shù) (OT) 注意事項(xiàng)：對于 OT 環(huán)境，請考慮設(shè)備有限的日志記錄功能，并使用傳感器或帶外通信來補(bǔ)充日志，而不會導(dǎo)致設(shè)備過載。
• 內(nèi)容和時間戳一致性：在所有系統(tǒng)中使用結(jié)構(gòu)化日志格式（如 JSON）和一致的時間戳（最好是帶有 ISO 8601 格式的 UTC）來改善日志相關(guān)性和分析。
• 事件日志保留：考慮到某些威脅可能在檢測到之前潛伏數(shù)月，請確保日志保留足夠長的時間以支持事件調(diào)查。保留期限應(yīng)符合監(jiān)管要求和組織的風(fēng)險評估。

這些實(shí)踐增強(qiáng)了組織有效檢測、調(diào)查和應(yīng)對網(wǎng)絡(luò)安全事件的能力。

2.集中事件日志訪問和關(guān)聯(lián)

集中式日志收集和關(guān)聯(lián)為企業(yè)網(wǎng)絡(luò)、OT、云計算和使用移動計算設(shè)備的企業(yè)移動性提供日志源的優(yōu)先列表。 

優(yōu)先級排序過程包括評估攻擊者瞄準(zhǔn)已記錄資產(chǎn)的可能性以及資產(chǎn)泄露的潛在后果。 

美國國家安全局建議各組織建立集中式事件日志設(shè)施，例如安全數(shù)據(jù)湖，以實(shí)現(xiàn)日志聚合。 

要實(shí)施有效的企業(yè)日志記錄政策：

• 明確職責(zé)：明確組織和服務(wù)提供商之間的日志記錄角色。
• 優(yōu)先處理日志：重點(diǎn)關(guān)注企業(yè)、OT、云和移動環(huán)境中的關(guān)鍵系統(tǒng)、網(wǎng)絡(luò)設(shè)備和高風(fēng)險區(qū)域。
• 確保日志質(zhì)量：捕獲時間戳、IP 地址和用戶 ID 等關(guān)鍵詳細(xì)信息。使用 JSON 等一致格式。
• 集中監(jiān)控：集中收集日志，數(shù)據(jù)分為“熱”（快速訪問）和“冷”（長期存儲）。
• 保留和存儲：根據(jù)風(fēng)險和合規(guī)性需求設(shè)置保留期。確保有足夠的存儲空間以防止數(shù)據(jù)丟失。
• 時間戳同步：在所有系統(tǒng)中使用一致、可靠的時間源（最好是 UTC）。
• OT 注意事項(xiàng)：使用替代日志記錄方法解決 OT 設(shè)備的限制。
• 定期審查：定期重新評估日志相關(guān)性并根據(jù)需要更新政策。

這種方法加強(qiáng)了威脅檢測、事件響應(yīng)和合規(guī)性。

從那里，選定的、處理過的日志應(yīng)該被轉(zhuǎn)發(fā)到分析工具，如安全信息和事件管理(SIEM) 解決方案和擴(kuò)展檢測和響應(yīng) (XDR) 解決方案。 

3.安全存儲和事件日志完整性

• 集中式日志記錄：實(shí)施安全的數(shù)據(jù)湖來匯總?cè)罩荆乐挂虮镜卮鎯τ邢薅斐蓳p失。將關(guān)鍵日志轉(zhuǎn)發(fā)到 SIEM/XDR 進(jìn)行分析。
• 安全傳輸和存儲：使用 TLS 1.3 和加密方法保護(hù)傳輸中和靜止的日志。限制對敏感日志的訪問。
• 預(yù)防未經(jīng)授權(quán)的訪問：保護(hù)日志不被惡意行為者修改/刪除。只有授權(quán)人員才可以訪問，并設(shè)置審計日志。
• 強(qiáng)化 SIEM：將 SIEM 與一般 IT 環(huán)境隔離，過濾日志以優(yōu)先處理重要日志，并最大限度地降低成本。
• 基線和威脅檢測：使用集中日志檢測偏離正常行為的情況，指示潛在的網(wǎng)絡(luò)安全事件或事故。
• 及時日志提取：確保快速收集日志，以便盡早發(fā)現(xiàn)安全事件。

4.相關(guān)威脅檢測策略

為了檢測“離地謀生”（LOTL）技術(shù)，組織應(yīng)實(shí)施用戶和實(shí)體行為分析（UEBA），并利用 SIEM 系統(tǒng)通過將事件日志與已建立的正常活動基線進(jìn)行比較來識別異常。主要建議和策略包括：

(1) 行為分析：使用 UEBA 自動檢測網(wǎng)絡(luò)、設(shè)備或賬戶上的異常行為，這對于識別與正常操作相融合的 LOTL 技術(shù)至關(guān)重要。

(2) 案例研究 - Volt Typhoon：該組織使用了 LOTL 技術(shù)，例如 PowerShell 腳本、Windows 管理規(guī)范控制臺 (WMIC) 和其他本機(jī)工具在系統(tǒng)內(nèi)進(jìn)行滲透和橫向移動，使傳統(tǒng)的檢測變得十分困難。

(3) 異常行為指標(biāo)：

• 不尋常的登錄時間或地點(diǎn)。
• 訪問帳戶通常不使用的服務(wù)。
• 大量的訪問嘗試或數(shù)據(jù)下載。
• 使用不常見或可疑的進(jìn)程和路徑。
• 意外的帳戶活動，例如重新啟用已禁用的帳戶。
• 網(wǎng)絡(luò)異常，例如設(shè)備之間建立新的連接。

(4) 增強(qiáng)檢測：實(shí)施端點(diǎn)檢測和響應(yīng) (EDR) 解決方案，確保詳細(xì)日志記錄（包括進(jìn)程創(chuàng)建和命令行審計），并為合法二進(jìn)制使用建立基線。

(5) 主動威脅搜尋：定期進(jìn)行威脅搜尋，以識別和調(diào)查潛在的 LOTL 活動，并根據(jù)不斷變化的威脅形勢完善檢測規(guī)則。

這些策略有助于檢測和緩解 LOTL 技術(shù)，由于這些技術(shù)依賴于網(wǎng)絡(luò)中的合法工具和活動，因此具有挑戰(zhàn)性。