在進行保安風險評估(SRAA)時,許多企業以為只要開啟了系統日誌紀錄,就能在事後追蹤入侵者。然而,現實情況是:高明的黑客在入侵後,第一件事就是清理現場。 如果你的日誌只儲存在受攻擊的伺服器上,那麼這些證據極有可能在調查開始前就已經被「毀屍滅跡」。
1. 守門人的背叛:日誌刪除與竄改
當黑客取得伺服器的特權帳戶(Root/Administrator)後,他們擁有最高權限去操作作業系統的所有檔案。為了掩蓋行蹤,黑客會採取以下手段:- 直接刪除: 透過指令清空
access.log或 Windows Event Logs。 - 精準篡改: 只刪除特定時間點、來自特定 IP 的訪問紀錄,讓日誌看起來「一切正常」。
- 停止服務: 直接關閉日誌記錄服務(Logging Service),讓後續的破壞行動完全不留痕跡。
2. 本地日誌的局限性
若日誌僅存放在本地(Local Storage),它就存在單點失效的風險:
- 缺乏完整性: 審計人員無法驗證日誌是否曾被改動。
- 無法即時警報: 只有在事後人工檢查時才會發現問題,無法在入侵發生瞬間攔截。
- 硬體損毀: 如果黑客最後發動勒索軟體加密硬碟,本地日誌也會隨之消失。
3. SIEM:資安防禦的「異地備份」與「大腦」
這就是為什麼現代企業必須部署 SIEM(資訊安全事件管理系統)。SIEM 的運作邏輯從根本上解決了上述問題:
- 即時轉發(Real-time Forwarding): 日誌在產生的那一秒,就會立刻同步傳送到獨立的 SIEM 伺服器。即使黑客隨後刪除了本地日誌,SIEM 中早已留存了不可更改的副本。
- 關聯分析(Correlation): SIEM 不僅僅是儲存空間,它能同時分析來自防火牆、資料庫、Apache Struts 應用程式等多個來源的數據,找出隱藏的攻擊路徑。
- 唯讀特性: 專業的 SIEM 儲存機制通常具備「唯讀」或「一次寫入多次讀取」的特性,黑客極難從遠端滲透並修改 SIEM 內的歷史紀錄。
結論:沒看見不代表沒發生
做完 SRAA 並不代表系統安全,因為評估可能只驗證了「有沒有紀錄」,卻沒考慮到「紀錄能否被銷毀」。建立一套獨立於業務系統之外的 SIEM 監控體系,才是確保資安證據鏈完整、實現真正防禦的關鍵一步。
