睁大眼睛,留意可能的攻击者活动。
记录和审核指示设备安全操作更改的事件有助于突出显示可能的攻击者活动,提供入侵的早期警告,并为响应任何安全事件的分析提供基础。
有效的日志记录并不总是能阻止对手,但只要对日志进行适当的监视和审核,它就会增加其活动暴露的可能性。这反过来可能会降低他们潜在的攻击欲望。日志记录应根据产品可能面临的威胁进行通知。
安全日志应像对待其他敏感数据一样对待,并受到相应的保护。日志泄露可以使攻击者深入了解安全配置,但也会使恶意活动不被发现。
·当明确定义日志的用途时,日志最有用。应根据可能应用于设备的威胁选择记录的事件,并考虑根据要采取的响应操作级别按重要性级别对事件进行分类。
·访问允许修改设备安全配置的管理功能可能特别值得关注。对于这些事件或其他对安全至关重要的事件,应考虑触发警报以引起更即时的关注。
·对日志的访问应是一项特权功能,仅限于具有管理员角色的人员,并且默认情况下处于禁用状态。应通过机制保护日志,以检测意外修改和警报以响应未经授权的更改。
·日志应在产品的生存期内保留。这可能意味着您需要定期备份它们,或安全地导出它们。远程日志记录有助于避免长时间的设备上存储限制。开发人员应考虑如何启用典型日志记录行为的建模和测量,以帮助用户选择适当的存储和处理。
·仅当存在适当的监视和审核策略以识别异常行为时,日志才有用。结构化日志使审核更容易,无论是手动还是自动。在手动审核的情况下,应突出显示关键事件并易于识别,从而减轻审核员的认知负担。
·如果可以轻松识别可疑行为模式,则审计是最有效的。对于自动监控,需要典型可疑行为的模型。系统范围的监视和审核系统可能会有所帮助,所有监视系统都应以对用户或系统所有者有用的方式提供有意义且可操作的警报。
>>>等级保护<<<
>>>供应链安全<<<
>>>其他<<<
联系客服