什麼是稽核軌跡不足

在資安監控中，所謂的稽核軌跡不足是指系統、網絡或應用程序沒有充分或適當地記錄相關活動和事件，導致在需要進行安全審計、事件調查或合規性檢查時，無法獲取足夠的數據來還原或分析發生的行為。這種狀況可能會嚴重影響組織的安全態勢，因為缺乏足夠的稽核軌跡使得識別、調查和應對安全事件變得困難。

稽核軌跡不足的常見狀況：

1. 日誌記錄不完整：

   • 系統或應用程序沒有啟用全面的日誌記錄，僅記錄部分事件。例如，沒有記錄登入失敗的嘗試、權限變更、文件訪問等。
   • 只記錄基本的系統活動，而沒有詳細的操作細節，導致無法追溯用戶行為或系統變更。

2. 日誌保留時間不足：

   • 日誌資料保留時間過短，導致重要事件的記錄在發生後不久即被覆蓋或刪除。在需要進行長期的事件分析或合規性審查時，無法獲取所需的歷史數據。

3. 日誌記錄位置分散：

   • 日誌記錄沒有集中管理，分散在不同的設備或系統中，導致在進行稽核時難以收集和關聯各系統之間的活動。
   • 沒有使用中央化的 SIEM（Security Information and Event Management）工具來收集和分析日誌，造成關鍵信息遺失。

4. 日誌格式不統一：

   • 不同系統或應用程序的日誌格式不統一，導致在分析時難以解讀或關聯。這種情況下，難以構建一個完整的活動軌跡。

5. 沒有記錄關鍵事件：

   • 缺乏對關鍵事件的記錄，例如：
     • 使用者身份認證和權限變更
     • 關鍵系統配置變更
     • 敏感數據訪問和傳輸
     • 安全策略變更和異常活動

6. 缺乏防篡改措施：

   • 日誌記錄沒有適當的防篡改機制，容易被攻擊者修改或刪除，導致在事後調查中無法獲得可靠的證據。

7. 記錄的日誌信息不足以進行溯源：

   • 記錄的日誌缺乏足夠的細節，無法還原事件的全部過程。例如，只記錄了使用者登入事件，但沒有記錄登入後的具體操作。

稽核軌跡不足的影響：

• 難以調查和應對安全事件：在發生安全事件（如數據洩露、未授權存取）後，缺乏充分的稽核軌跡會使得事件調查變得困難，無法確定攻擊者的行為或攻擊途徑。
• 合規性問題：許多法規和標準（如 GDPR、PCI DSS）要求組織對關鍵活動進行記錄和監控。稽核軌跡不足可能導致合規性問題，進而引發法律責任或罰款。
• 難以確保內部控制：無法有效監控內部人員的活動，可能導致未經授權的行為（如資料竊取或濫用權限）不被發現，增加內部風險。
• 缺乏威脅偵測能力：稽核軌跡不足會降低威脅偵測的效率和準確性，無法及時識別和響應網絡攻擊或異常行為。

改善稽核軌跡的措施：

• 啟用詳細的日誌記錄：確保系統、網絡設備、應用程序等都開啟了詳細的日誌記錄功能，包括登入/登出、文件訪問、配置變更等。
• 集中化日誌管理：使用 SIEM 工具來集中收集和管理日誌，提供統一的分析和報告能力。
• 定期檢查和測試：定期審核日誌配置，確保日誌記錄充分且完整，並測試日誌記錄的可用性和完整性。
• 設置日誌保留策略：制定合理的日誌保留策略，確保日誌資料在需要時可供調查和審計使用。
• 日誌防篡改：採用防篡改技術，確保日誌記錄不可被未授權修改或刪除。

稽核軌跡是資安監控中關鍵的一環，能夠提供對系統和網絡活動的可見性，協助在安全事件發生時進行溯源和分析，因此確保稽核軌跡的完整和可用性是組織維護資安的核心工作之一。