Session_Auditor的独特价值
大型企业和组织的核心业务系统由大量的Unix/Linux服务器、Windows服务器、网络设备,以及运行其上的各种应用组成,这些应用系统可能包括ERP、CRM、资源管理系统、计费系统、办公自动化、电子运行维护系统、知识管理系统,以及其它各种C/S或B/S应用。
通常,运行维护人员使用Telnet/SSH来管理Unix/Linux服务器和网络设备,使用Windows Remote Desktop Protocol (RDP)来远程管理Windows服务器,另外,VNC,HTTP,FTP,Rlogin等在日常维护过程中也多有使用。
一方面,为了应对网络迅速增长的各种安全威胁,安全管理员鼓励、甚至要求远程维护管理使用加密协议,例如SSH和远程桌面,另一方面,因为审计技术的不足,为了保证对远程维护管理操作的审计,安全审计员又要求不使用那些加密协议。这样,在加密和不加密之间产生了冲突和悖论:为了避免威胁而加密,还是为了审计而不加密?
鱼与熊掌难道不可兼得吗?比蒙科技认为:加密协议一样应该、并且也可以审计!
扎根于网络信息安全领域的比蒙科技充分挖掘核心团队在安全领域多年耕耘的经验和技术潜能,研究开发了新型的基于网络的审计系统Session Auditor,为审计系统带来了深入的分析和回放功能,全面覆盖管理维护活动中常用的网络协议,克服了普通审计系统不能理解加密协议的不足,成为企业信息系统运行过程中值得信赖的”黑盒子”和分析师。
为什么靠防火墙、入侵检测、网络设备的审计是不够的?
我们知道,防火墙、入侵检测系统和网络设备在运行过程中,都会产生大量的日志和告警,这些日志和告警都是重要的审计信息,也是普通的基于网络的审计系统的重要支柱。但是,受限于其工作方式和设计目标,它们只记录事件以及事件的结果,但是都不可能细致的分析高层应用协议并记录详细的过程和细节,当前也都不能分析加密协议内部的应用信息。这样,防火墙等安全设备关注解决的对象是以攻击、入侵、病毒等外部威胁,而对于属于正常访问范围的网络会话则无能为力。
基于网络的审计系统和基于主机的审计系统
根据审计信息的收集方式,审计系统主要分为基于主机的审计(HBA)和基于网络的审计(NBA)两大类。
基于主机的审计是指通过收集主机系统上面的各种形式的日志文件实现审计的方式。事件(Event)是HBA系统发生在主机和应用系统中的行为的基本单元,一般来说,它会包含日期和时间、主体用户或应用、访问对象、成功与失败以及事件摘要等信息。
HBA的特点是收集的信息比较深入,比较完整,不受加密协议的影响,其缺点是部署过程较为复杂,通常需要在主机系统上安装代理,这样不容易保持审计策略的一致,不容易保证审计代理工作的正常和健壮,安装在审计对象主机上面的代理可能会被卸载或者停止运行,这样审计代理产生的审计信息的可信性也会大打折扣。审计代理对于应用系统的性能和稳定性影响也是不容忽视的一个问题。
基于网络的审计是指直接从网络中收集各种会话信息,从网络传输的数据(traffic)和行为中提取审计信息。会话(Session)是NBA的基本审计单元,其主要内容包括会话标识、源目的地址和端口、协议、日期和时间、成功与失败、摘要
NBA的特点是部署快速,对应用系统影响小,覆盖面大,不容易被绕过,不容易被窜改等。普通的基于网络的审计系统主要通过收集包括路由器、交换机、防火墙、入侵检测等网络和安全设备记录的日志来实现。这样实现的审计系统丢失了网络会话的绝大部分内容,无法提供事件分析所需的完整的网络行为回放(Replay)。而回放却是安全事件分析中最为重要的技术手段之一。
当前也出现了一些通过交换机镜像方式工作的网络审计系统,它们能够完整的记录网络中流经的数据,但是却不容易深入到敏感数据和应用、不容易定位到用户。另外,最为致命的缺陷是它们不能有效地审计那些使用了加密协议的会话。
综上所述,除去性能和稳定性代价之外,单纯依赖主机日志建立的审计系统是不完善的,没有足够的可信度。而普通的基于网络的审计系统又无法解决承担大部分运维工作的远程桌面RDP/SSH等加密通信协议的问题。上面两种类型传统审计技术实现的审计系统存在的缺陷是显而易见的。我们需要一种既能快速部署、全面覆盖,又能全面记录、理解加密协议、帮助深入挖掘的审计系统,它需要同时具备两种类型审计系统的综合优势。
来自比蒙科技的Session Auditor
Session Auditor的传感器以透明方式运行,可以智能识别流经它的各种网络协议,包括上面提到的SSH和RDP两种加密协议,将这些网络数据严格地按照会话进行重组并且记录下来,传送回数据机,以备审计和查询使用。控制台可以根据审计策略实时改变传感器的工作方式和审计的范围、协议和粒度。
依靠Session Auditor可以实现功能强大的审计体系:
- 业界唯一的远程桌面操作(RDP)会话的透明支持与完全记录及回放
- 业界唯一的SSH、SCP等多种协议的透明支持与完全记录及回放
- Citrix ICA会话的透明支持与完全记录回放
- 支持Telnet、FTP、Rlogin、HTTP、VNC、Oracle、Sybase、MS SQL、DB2、Informix、SMTP、POP3、CIFS/SMB等多种协议
- 支持对用户自定义协议的记录
- 详细记录网络中的会话数据流,并且能够进行回放
- 内置防火墙功能,按照安全策略设置访问控制
- 可实时阻断可疑会话
- 透明桥方式的网络部署,不用改变主机和应用的配置,不必增加主机和应用的兼容风险,大幅降低审计系统的部署和管理维护负担
- 审计机制不可旁路、审计信息不可窜改
- 面向操作员和运行维护操作细节
- 层次化、分布式的部署方式可以提供非常高的灵活性和可扩展性,支持大规模的网络环境
- 完善的自身认证和加密方案,确保审计过程的保密性和完整性
- 基于角色的访问控制系统和数据备份恢复机制,确保审计数据的保密性、完整性和可用性
注:站长所在公司的主打产品也是运维审计,有需求亦可与我联系。张百川,手机:15339230081,QQ(兼邮箱):55984512
标签: Session Auditor, 主机审计, 数据库审计, 服务器审计, 比蒙科技, 网络审计