用户活动监控与资产监控同样重要

在企业网络安全中，用户活动监控与资产监控同样重要。本文将介绍来自企业管理联盟的具体研究结果。

与大多数保险公司类似，AIG以色列保险公司也面对一些严格的规范要求和安全标准的限制。为了符合这些标准的要求，它使用审计软件去跟踪服务器配置和Active Directory变化。但是，曾经有一个用户的错误引起了系统问题，这时公司认识到它不能只关注于保证资产安全。它还必须关注于用户活动监控。

有一个AIG合作伙伴有一些不小心在一个配置文件中增加了一个空格，这个简单的错误一直未被发现，直到服务出现故障，这促使AIG开始摸索如何寻找问题的根源。AIG以色列公司中负责基础架构的架构师Snir Hoffman说：“因为这些问题出现，所以我们发现部署用户活动监控是很有意义的。毕竟，我们都是容易犯错的人类。”

像AIG这样的案例并不少见。虽然企业通常都有资产安全措施——如服务器和企业数据，但是用户活动监控在以前优先级不高。但是，一些高危安全漏洞正促使许多企业考虑自己网络中有哪些容易受攻击的漏洞。这可能是由于用户疏忽或内部恶意活动造成的，根据美国科罗拉多州博尔德研究公司企业管理联盟（Enterprise Management Associates Inc.）的最新报告，有69%的安全事故都是由受信公司内部人员引起的。在这些事故中，有84%是由不具备管理权限的公司用户造成的。而且，撰写这份报告的EMA研究主管David Monahan指出，由于用户数据通常都是攻击的主要目标，所以这些数字仍在不断攀升。

Monahan指出，虽然内部人员访问可能是安全风险的主要来源，但是许多公司仍然需要信任这些用户，而且在整个安全策略中加入这些用户活动监控工具会让他们感觉更轻松一些。

用户活动监控必须与资产监控处于同等位置

大多数企业都关注于涉及特定资产的风险，例如对于员工工作至关重要及保存敏感数据的服务器和应用程序。但是，美国波士顿安全供应商ObserveIT的销售副总裁Dimitri Vlachos指出，许多漏洞都是由于合法用户身份的滥用造成的，这是资产保护技术无法监控的。

EMA的Monahan说：“规章的数量庞大，平常用户并没有得到监控或观察——这是一个很大的偏差，这要求我们在态度上有较大转变。”

负责完成EMA调查的ObserveIT推出了用户活动监控软件。这个技术可以帮助IT人员分辨出不同用户组的风险级别——如内部用户、承包商和管理员。Vlachos指出，它提供了一些管理和降低用户风险的方法。他说：“来自于用户的风险威胁已经成为一个真实问题，传统的安全方法已经无法处理这些风险了。”他指出，传统安全工具可以帮助公司理解他们的系统——如日志管理和安全信息与事件管理(SIEM)产品，但是他们的IT团队无法查看用户正在进行的活动——无论活动是否正常。ObserveIT的工具会记录用户的活动，生成可搜索的日志，包括用户、应用程序访问和应用内完成的活动。

AIG以色列公司在其中央数据中心的网络安全策略中使用了ObserveIT的用户活动监控软件。这家公司创建了一个虚拟桌面基础架构环境，其中每一个供应商合作伙伴都有自己的Windows 7工作站，而且它们都受到集中监控。此外，ObserveIT还能够监控AIG自有系统的管理员。

最新版ObserveIT允许企业实时监控用户，这是一个Hoffman及其团队计划实施并整合到现有安全基础架构的功能。Hoffman说：“能够设置规则是很有用的——例如如果有人打开一个特定的文件，或者访问一个特定的位置，马上就会一个警报发出，因为这并不计划内操作，但是我们无法查看到这些日志。”

用户活动监控并非一个精密科学

无论使用了什么样的安全技术或流程，我们仍然很难确定一个用户的身份信息是否已经泄露。即使是最好的安全系统都很难分辨一个特定的活动是否有危害嫌疑，或者用户是否有访问特定应用程序或数据的合法权限。

EMA的Monahan指出，但是用户活动监控软件可以帮助我们确定是否有一个远程会话为特定的用户打开，或者在相同时刻中该用户是否有一些无关的活动路径。

此外，如果一个用户的身份曾经被用于执行欺骗动作，那么Hoffman及其团队还能够分析ObserveIT收集的历史数据。他指出，他们还能够确定用户曾经执行了哪些活动或工作，使用了哪些工作站，以及同一个用户是否同一时刻登录了另一台工作站，等等。

他说：“我们可以查看每一个具体的时间线。我们可以按工作站进行搜索，甚至可以直接询问有问题的用户，为什么他们必须使用另一个用户的身份。”此外，这个系统还会向用户发出警报，告诉他们当前执行的活动会被记录。Hoffman说：“这种警告会让用户重新考虑，更加认真地对待自已正在做的事情。”