日志管理与监控在网络安全策略中的重要性

关键要点

如果组织尚未将日志管理与监控作为其网络安全策略的重要组成部分，那么他们就无法全面洞察潜在风险。

日志记录了网络中发生的每个系统事件，以及事件发生的时间和方式。因此，安全团队可以通过仔细检查日志来判断设备是否遭到入侵，这使得日志管理成为一种成熟的、主动的入侵检测和数据保护方式。

考虑到网络威胁的不断演变、从本地数据存储转向云存储的趋势，以及每天生成的数据总量全球超过25亿GB不难理解这一网络安全实践的加速普及。

根据研究市场的数据，预计到2026年，全球企业的日志管理和监控支出将从2021年的183亿美元几乎翻倍，增至343亿美元。然而，尽管支出增加，但理解投资这些工具的原因还需要探索其所带来的好处。

日志管理的重要性日志将系统内部的事件联系在一起，并关联多个系统的发生情况。日志管理跟踪系统和应用日志，以深入了解用户活动、漏洞、安全漏洞以及其他潜在问题。这些日志通常以加密文本文件的形式存在，也可能包括如图像和视频的二进制数据。

安全分析师可以实时检查日志，以判定系统是否遭到入侵。例如，WannaCry 勒索病毒攻击在2017年五月感染了数以万计的设备，导致联邦快递、雷诺以及英国国家卫生服务等组织陷入停滞。用户可以通过检查服务器日志中具有特定扩展名的加密文件或通过某些 TCP 端口建立的连接，来判断计算机上是否存在恶意软件。

安全运营中心(SOC)的分析师还可以在入侵发生后保留日志以进行取证分析。在2017年，Equifax遭受入侵，2020年蒙特利尔银行受到攻击，调查人员查看了日志文件以确定攻击者如何访问每家公司系统。若每个组织在事件发生时更仔细地审查这些日志，早期发现相关记录将能限制损害。

云如何改变日志管理随着越来越多的公司采用云存储解决方案，日志管理和监控变得愈加复杂。根据Netwrix的数据，组织已将41的工作负载迁移到云中，并期望在未来1218个月内将这一数字提高至54。此外，80的企业使用云存储敏感数据，包括员工和客户的个人身份信息。

过去，组织因其数据存储在本地而可以无限制访问非常详细的日志。然而，当数据托管在云中时，租赁协议会限制对底层系统的访问，降低了可见性，并使传统日志记录方法变得不切实际。

公司还必须考虑成本，组织受到其云存储计划的价格和容量限制。必须决定哪种日志对于云监控系统的审查最相关，因为日志生成的数量庞大，全部发送到云中并不可行。

这导致安全团队对潜在威胁的洞