什么是日志保留?
日志不必是冗长、复杂的文本文件。日志是临时数据事件,可以来自任何地方——客户端更新事件、网络流数据、Web 服务器日志等等。所有数字操作都会创建日志。然而,即使收集了所有日志,也并非全部都被存储。
日志收集和集中式日志聚合过程之后是日志保留。保留日志是任何成功的网络安全策略的关键组成部分。
日志保留是指事件日志的归档,特别是与安全相关的事件日志,涉及存储这些日志条目的持续时间。这些条目通常指所有网络安全,允许公司保存有关安全相关活动的信息。通过保存记录,IT 团队可以深入了解网络上发生的活动。
例如,系统上执行了哪些活动以及何时执行?该活动涉及哪些用户账户或软件以及结果是什么?
什么是日志保留策略?
在遵循最佳实践时,您需要考虑的步骤之一是创建和管理日志保留策略。在此策略中,您将概述日志存储要求。
其他考虑因素包括:
- 您将存储什么类型的信息以及存储多长时间
- 数据保密性
- 线上与线下数据
一个关键的起点是存储防火墙日志(主机或网络)、入侵检测系统 (IDS) 日志和审核日志的压缩副本。
以下是布法罗大学日志保留政策的示例。例如,日志文件保留时间在此策略的日志文件保留指南中指定。默认日志保留时间为 30 天,除非日志文件类型属于三个类别之一,例如 IDM 审核或 UNIX 身份验证/登录。在这些情况下,保留时间为六个月。策略中概述了有关如何处理日志文件的说明。根据您的组织和基础设施,您的策略可能会更复杂。
您还可以为每个系统创建多个保留策略,然后根据其重要性确定优先级。任何与安全相关的内容都应该成为扩展日志保留策略的一部分。例如,与用户身份验证或信用卡授权相关的数据。会计和税务合规软件也可能需要更长的保留策略,因为公司审计师和政府当局可以要求追溯分析。
应用程序的使用频率也是需要考虑的因素。如果您不经常使用某个应用程序(例如每月一次),您将需要考虑延长保留策略,以防开发人员需要验证问题的根源。较低的使用频率将需要开发人员进一步回溯以进行有效调试。
对业务记录进行分类
在日志保留策略中,您必须根据不同的类别对日志进行分类。其中包括以下内容。
- “必须保留”日志— 这些是法律要求您存储的文件和事件。此类别还应优先考虑可能与潜在法律问题相关的日志。根据与您所在行业相关的法规和法律要求的时间长度存储这些日志,或者直到它们不再与潜在的法律纠纷相关。
- “想要保留”日志— 这些日志对您的业务有价值,但法律不要求存储。您的策略应规定这些记录的适当日志保留期限。您还应该说明审查这些日志的频率,以确定它们是否仍然具有任何重要性。
- “销毁”日志- 正如您会粉碎不再需要的任何硬拷贝文档一样,删除过时的日志或您的公司未使用但构成潜在安全威胁的日志也很重要。
尽管对您的组织来说最重要的日志会根据您的业务和整个行业的范围而有所不同,但大多数组织都会优先考虑以下日志类型。
- 用户 ID 和凭据
- 访问关键资产的数据和时间(例如防火墙的激活和停用、重要安全事件等)
- 失败和成功的登录尝试
- 对系统配置进行的更改
- 事件详情
什么是日志保留期?
日志保留期是保留日志的时间长度。例如,您可以将审核日志和防火墙日志保留两个月。但是,如果您的组织必须遵守严格的法律和法规,您可以将最重要的日志保留六个月到七年。该时间范围就是日志保留期。
长时间保留日志对于安全和合规性措施来说是最佳选择。然而,这可能会变得昂贵。这就是为什么您需要创建概述设置日志保留期限的日志保留策略。
考虑一个典型的漏洞发现时间表来证明日志保留期的合理性。发现事件的平均时间为100 到 200 天,具体取决于来源。从这个意义上说,保留日志一年是明智的。
日志数据应该存储多长时间?
这个问题的答案是视情况而定。
虽然有些公司将日志数据存储一年或更短时间,但有些组织必须遵守监管要求。在这种情况下,您可能需要将安全日志保留几年。每个组织都在不同的业务环境中运作。一个组织可能会将日志保留六个月,而另一组织可能会将日志保留 18 个月以上。而我国在日志留存方面,通过《网络安全法》进行了明确,要求不低于六个月,这点与根据VISA 持卡人信息安全计划 (CISP) 的规定是一致的。
关键是根据您的业务性质了解您的组织需要遵守的要求。
大多数组织发现至少一年可以满足大多数监管要求。但是,您必须注意组织的行业标准、法规和法律,以及公司的网络安全问题。
例如,根据巴塞尔 II 协议,国际银行必须保留其活动日志3至7年。相比之下,根据VISA 持卡人信息安全计划 (CISP) 的规定,电子商务公司必须将审核日志保存至少六个月。如果您从事医疗保健行业,则需要考虑《健康保险流通与责任法案》(HIPAA),该法案保护患者数据并将日志保留长达六年。
以下是一些主要考虑因素:
- 合规性— 出于哪些监管原因需要保留日志消息以及保留多长时间?网络安全等级保护、GDPR、PCI、NISPOM和公司政策都在这里发挥作用。例如,您是否应该将包含个人身份信息的特定日志保留较短的时间?这些日志的某些字段是否应该加密?
- 运营需求——是否存在日志在事后有用的用例?例如,关于第三方版权主张或其他潜在的合法性问题?
- 成本——日志占用空间,而空间又要花钱。总有一天,存储某些日志的时间会超过它们带来的好处。
什么是日志保留最佳实践?
更好地保留安全日志的关键是遵循最佳实践,从第一天起就实施主动策略。当涉及到公司的安全时,您始终希望保持主动,而不是被动。如果发生了一些事情而你没有适当的系统,那么你前进的努力可能会太少、太晚。
在组织大型 IT 环境时,日志管理可能具有挑战性,这更有理由遵循最佳实践。成功维护关键日志不仅仅是良好的安全态势,采取以下步骤将在发生问题时提高您的安心感和持续的业务运营。您需要保护整个 IT 基础架构,同时获得宝贵的见解。
集中归档数据
如果发生问题,您的安全日志将充当您需要调查的证据。如果没有这些日志,您就无法进行分析。建议您集中归档日志,以确保其完整性和合规性。
归档这些日志时,您需要对其进行加密和时间戳。其他技术(例如散列)也是增强安全性的最佳技术。您还应该监控日志,实施一个工具来识别问题并发送警报。
最大化安全日志大小
根据您组织的要求,您应该设置最大安全日志大小。这样,您就可以通过向网络添加更多数据来有效扩展。您最不想看到的就是由于空间不足而丢失数据,尤其是当您认为自己保持合规性时。
创建日志保留策略
与应用程序日志数据相比,安全日志应保留更长的时间。如果您遇到违规或攻击,您的日志就是证据。然而,永久保存日志并没有什么好处,这正是日志保留策略发挥作用的地方,如前所述。创建日志保留策略为您的团队制定了需要遵循的关键准则。
创建策略时,请重点关注日志安全性和日志保留。例如,您是否存储客户的数据或 API 的内部访问密钥?这些示例是您要加密的数据类型。
日志保留准则很重要,但日志监控也很重要。实施警报并自动进行日志监控以提高安全性。您可以通过利用简化此过程的工具或平台来实现这一目标 - 不要低估日志分析的价值。提供人工智能和机器学习能力的工具可以筛选日志以确定基线并检测异常。
不要使日志记录过程过于复杂
如果您记录太多事件,最关键的日志可能会变得难以查找。记录最关键的事件,以免丢失或忽视重要信息。这些事件包括账户锁定、登录失败和文件访问。同样,采取这一步骤将确保网络安全和最佳的法规遵从性。此外,请确保所有系统时钟同步以获得更准确的时间戳。
确保日志记录过程不过分复杂的最佳方法是投资一个能够无缝执行此步骤的平台。此外,参与该过程的人员越多,出现错误的可能性就越大。统一的平台将使您能够利用更高的自动化程度。当您可以轻松访问调查整个技术生态系统中的问题所需的所有信息时,这将显著加快该过程。
日志留存的重要性,是多方面的。在应对内部违规操作、外部攻击方面,日志是溯源的第一手材料,是单位自己落实追究责任制的有力支撑,也是监管部门破案的强有力的基础。
