用户活动监控与资产监控同样重要

在企业网络安全中,用户活动监控与资产监控同样重要。本文将介绍来自企业管理联盟的具体研究结果。

与大多数保险公司类似,AIG以色列保险公司也面对一些严格的规范要求和安全标准的限制。为了符合这些标准的要求,它使用审计软件去跟踪服务器配置和Active Directory变化。但是,曾经有一个用户的错误引起了系统问题,这时公司认识到它不能只关注于保证资产安全。它还必须关注于用户活动监控。

有一个AIG合作伙伴有一些不小心在一个配置文件中增加了一个空格,这个简单的错误一直未被发现,直到服务出现故障,这促使AIG开始摸索如何寻找问题的根源。AIG以色列公司中负责基础架构的架构师Snir Hoffman说:“因为这些问题出现,所以我们发现部署用户活动监控是很有意义的。毕竟,我们都是容易犯错的人类。”

像AIG这样的案例并不少见。虽然企业通常都有资产安全措施——如服务器和企业数据,但是用户活动监控在以前优先级不高。但是,一些高危安全漏洞正促使许多企业考虑自己网络中有哪些容易受攻击的漏洞。这可能是由于用户疏忽或内部恶意活动造成的,根据美国科罗拉多州博尔德研究公司企业管理联盟(Enterprise Management Associates Inc.)的最新报告,有69%的安全事故都是由受信公司内部人员引起的。在这些事故中,有84%是由不具备管理权限的公司用户造成的。而且,撰写这份报告的EMA研究主管David Monahan指出,由于用户数据通常都是攻击的主要目标,所以这些数字仍在不断攀升。

Monahan指出,虽然内部人员访问可能是安全风险的主要来源,但是许多公司仍然需要信任这些用户,而且在整个安全策略中加入这些用户活动监控工具会让他们感觉更轻松一些。

用户活动监控必须与资产监控处于同等位置

大多数企业都关注于涉及特定资产的风险,例如对于员工工作至关重要及保存敏感数据的服务器和应用程序。但是,美国波士顿安全供应商ObserveIT的销售副总裁Dimitri Vlachos指出,许多漏洞都是由于合法用户身份的滥用造成的,这是资产保护技术无法监控的。

EMA的Monahan说:“规章的数量庞大,平常用户并没有得到监控或观察——这是一个很大的偏差,这要求我们在态度上有较大转变。”

负责完成EMA调查的ObserveIT推出了用户活动监控软件。这个技术可以帮助IT人员分辨出不同用户组的风险级别——如内部用户、承包商和管理员。Vlachos指出,它提供了一些管理和降低用户风险的方法。他说:“来自于用户的风险威胁已经成为一个真实问题,传统的安全方法已经无法处理这些风险了。”他指出,传统安全工具可以帮助公司理解他们的系统——如日志管理和安全信息与事件管理(SIEM)产品,但是他们的IT团队无法查看用户正在进行的活动——无论活动是否正常。ObserveIT的工具会记录用户的活动,生成可搜索的日志,包括用户、应用程序访问和应用内完成的活动。

AIG以色列公司在其中央数据中心的网络安全策略中使用了ObserveIT的用户活动监控软件。这家公司创建了一个虚拟桌面基础架构环境,其中每一个供应商合作伙伴都有自己的Windows 7工作站,而且它们都受到集中监控。此外,ObserveIT还能够监控AIG自有系统的管理员。

最新版ObserveIT允许企业实时监控用户,这是一个Hoffman及其团队计划实施并整合到现有安全基础架构的功能。Hoffman说:“能够设置规则是很有用的——例如如果有人打开一个特定的文件,或者访问一个特定的位置,马上就会一个警报发出,因为这并不计划内操作,但是我们无法查看到这些日志。”

用户活动监控并非一个精密科学

无论使用了什么样的安全技术或流程,我们仍然很难确定一个用户的身份信息是否已经泄露。即使是最好的安全系统都很难分辨一个特定的活动是否有危害嫌疑,或者用户是否有访问特定应用程序或数据的合法权限。

EMA的Monahan指出,但是用户活动监控软件可以帮助我们确定是否有一个远程会话为特定的用户打开,或者在相同时刻中该用户是否有一些无关的活动路径。

此外,如果一个用户的身份曾经被用于执行欺骗动作,那么Hoffman及其团队还能够分析ObserveIT收集的历史数据。他指出,他们还能够确定用户曾经执行了哪些活动或工作,使用了哪些工作站,以及同一个用户是否同一时刻登录了另一台工作站,等等。

他说:“我们可以查看每一个具体的时间线。我们可以按工作站进行搜索,甚至可以直接询问有问题的用户,为什么他们必须使用另一个用户的身份。”此外,这个系统还会向用户发出警报,告诉他们当前执行的活动会被记录。Hoffman说:“这种警告会让用户重新考虑,更加认真地对待自已正在做的事情。”

作者:Gina Narcisi

来源:51CTO

时间: 2024-09-20 12:31:36

用户活动监控与资产监控同样重要的相关文章

传感器搭上基于云的连续监控方案解决传统资产监控的混乱局面

派克汉尼汾推出云端监测软件和SensoNODE传感器允许用户通过Web浏览器来访问机器状态数据,从而达到识别操作和改进性能之目的.工业4.0和物联网正给工业带来的巨大好处,创新的解决方案弥补现代技术与传统制造的差距. 派克汉尼汾基于云的连续监控解决方案扭转了传统资产监控的混乱局面,使用户能够集中访问资产信息,无论是在现场还是在数英里之外. 远程连续监控系统允许工厂员工从Internet连接的任何地方访问资产数据,监控和解决机器康问题,分析生产或制造潜在危险的情况,并可以通过电子邮件.文本和系统消

关闭浏览器 用户状态-用户关闭浏览器怎么实时监控用户在线状态

问题描述 用户关闭浏览器怎么实时监控用户在线状态 用户关闭浏览器后,怎么实时的获取用户是在线还是离线状态呢,在global里面试了一下,不可行,还有没有其它好的建议啊?

终端用户监控:真实用户监控还是模拟监控?

[编者按]本文作者 Dan Kuebrich 是 AppNeta 公司应用性能产品主管,在本文中,作者通过分析两种终端用户监控方式的利弊,结合具体情况为监控的选择提出建议,本文系 OneAPM 工程师编译整理. 终端用户的性能大多是企业判断 Web 应用程序的标准,也就是说应用程序的响应是否能满足企业的标准.研究表明,在用户需求不断增长的同时,页面平均访问量也与日俱增--相对于 2010 来说已经增长了一倍.结合市场的频繁发布和更新,当下优化的步伐永远都无法及时跟上. 因此从终端用户的角度出发,

从用户体验谈zabbix和监控宝的差异和互补

无论是普通的个人站长还是专业的运维人员,都需要对自己的网站.服务器进行全面的监控.一来,我们可以随时监控到网络组件的运行状态.服务器的安全和稳定性状态:二来,我们可以通过监控分析来判断所使用的云服务是否满足项目需要,是否继续使用:三来,如果服务器或项目出现故障,能够及时的反馈到IT管理人员,就能在最短时间内给予最高效率的处理. 所以,我们必须依靠专业的监控工具.在众多开源监控工具中,很多专业人士会选择Zabbix.Nagios.Ganglia.Zenoss等,尤其以Zabbix普遍度最高.当然,

javamelody+c3p0-Javamelody监控jdbc,数据库连接监控的问题

问题描述 Javamelody监控jdbc,数据库连接监控的问题 我用的数据库连接池是c3p0,javamelody么有监控到,怎么配置一下Javamelody让它监控呀!我网上查的 资料都是跟hibernate或者spring一起使用才能监控,如果就只用c3p0可以做到监控吗?哪位大神懂呀!帮帮忙了,谢谢! 解决方案 JavaMelody监控

单机伪分布ganglia 监控hadoop,监控不到hadoop的相关监测指标

问题描述 单机伪分布ganglia 监控hadoop,监控不到hadoop的相关监测指标 就一台计算机,ubuntu 12.04 安装ganglia 是通过apt-get ... . ganglia版本是3.1.7 hadoop是2.4.1,hadoop是单机伪分布式环境下,相关配置配置好后,主要是ip地址,都是127.0.0.1,在监控的web页面上只能监控到cpu,内存,网络等指标,但hadoop 的相关指标(hdfs mapreduce)监测不到.下面是配置文件.麻烦看看是什么原因. gm

centos性能监控-centos cpu监控,流量监控的问题

问题描述 centos cpu监控,流量监控的问题 监控图不连续,怀疑中途是不是web服务器重启了还是什么其它情况 解决方案 http://www.linuxidc.com/Linux/2014-01/95639.htm

Hadoop YARN学习之监控集群监控Nagios(4)

doop YARN学习之监控集群监控Nagios(4) 1. Nagios是一个流行的开源监控工具,可以用来监控Hadoop集群. 2. 监控基本的Hadoop服务 调试好脚本后命名为chek_resource_manager.sh,并把它放在Nagios的插件目录中. 加载Nagios插件向hadoop-cluster.cfg添加如下信息 define command{ command_name check_resource_manager command_line /usr/lib64/na

将公共监控纳入制度“监控”之下

让人生活在一个监控无所不在的"楚门的世界",只是不得已的手段,让人由此感受到更多公共安全的增益与获得感才是最终目的,两者在现实中不能被本末倒置 公安部日前会同有关部门研究起草了<公共安全视频图像信息系统管理条例(征求意见稿)>(以下简称<意见稿>).<意见稿>指出,禁止在可能泄露他人隐私的场所.部位安装视频图像采集设备.对于违法者,单位安装的,对单位处一万元以上十万元以下罚款:个人安装的,对个人处一千元以上五千元以下罚款. 公共监控的无所不在,几乎已