当我们的APP客户端领域出现问题时,我们首先会被问到的一些问题, 在“XXXX何时会备份”之后, “是怎么回事?”?和“APP客户端会这样??“当然,如果所讨论的事件是安全事件或数据泄露事件,那么回答这些问题的紧迫性就会更快. 您可能有法律上基于时间的报告要求,其中包括上述两个问题的答案. 当然,你不仅需要解释这一事件, 您很快就需要确保在事件中被利用的漏洞不会轻易再次被利用.
这个工具已经存在很长时间了, 很好的旧日志功能, 最近在安全领域获得了越来越多的关注和重视. 长期以来,它一直是APP客户端人员维护系统/应用程序运行时间的首选功能, 分析来自网络系统不同部分的一组相互关联的日志文件的能力可以作为确定网络上给定事件发生的内容和方式的宝贵证据.
但, 要利用日志文件中的所有这些重要价值,您至少需要做两件事:
- 是否为所有最关键的服务器打开了日志记录功能, 设备甚至关键应用程序
- 这些日志是否从原始设备实时传输到安全的中央存储库
如果安全存储库是一个智能存储库,可以对接收到的数据进行实时分析,然后在需要时向您生成警报,那就更好了. 在这种情况下, 你很有可能在攻击的早期阶段捕捉到攻击的迹象,这样你就可以在任何真正的损害发生之前关闭它.
在最坏的情况下, 如果你的网络受到威胁, 所有日志数据将与网络的其余部分安全隔离, 并且可以用来帮助确定发生了什么, APP客户端会发生这种情况,需要做些什么来确保这种情况不会再次发生.
日志作为一种网络安全工具的重要性日益增加,这只是我们看到国家审计机构越来越重视探测记录内容的原因之一, 日志保存在哪里, 要多久?, 谁在看着他们. 到目前为止,这些问题已经被问及防火墙和IDS/IPS设备等外围设备. 随着人们对其安全价值的认识不断提高,需要日志记录的设备/应用程序将越来越多.
请不要因为你的组织不是银行或零售商店,因此你的网络不是目标,就认为这些对你来说都不重要. 你的网络仍然可以访问银行和其他金融相关信息,以及大量无价的学生人口统计数据, 老师, 与您的组织相关的员工或其他成员. 您的系统也可以直接或间接地访问信用卡信息. 今天,没有一个网络是安全的,或者对互联网上的坏人来说是无趣的.
下面是我们在Cisco Talos的朋友最近写的几篇关于日志主题的博文:
日志的重要性:
日志源对建立有效的情报驱动事件响应的意义
如果您想讨论如何提高您在组织中捕获和/或关联日志源的能力,请告诉我们. 我们可以帮助您通过各种选择来找到最适合您目标的解决方案.
最近的评论