虽然在 IT 和信息安全领域并不属于令人兴奋的话题,但对于确定设备健康状况,以及在更大程度上确保端点安全来说,可以说没有多少话题比遥测更重要。
在这个博客系列中,这位无名英雄着重介绍了遥测数据所能实现的各种需求、用途和功能。本系列的后续文章将更密切关注:
- 收集和存储
- 自动提醒和报告
- 完全自动化和关联
什么是遥测?
想一想每次经过身份验证的登录、执行的命令、执行的过程等等。简而言之,设备上发生的大多数变化都记录在日志中,详细说明了:
- 执行的操作
- 影响的程序
- 诊断信息
- 使用的系统服务
- 日期和时间戳
除了其他有用的数据记录以外,它还提供了一个了解 Mac 终端的窗口,以了解当前健康与安全的重要统计数据,而这些数据直接显示了 Mac 中应用程序和数据的操作、功能、技术和安全状态。
为什么遥测至关重要?
为了说明遥测数据的重要性,把它当作我们自己的生命统计数据来看待,可能较为容易理解。例如,我们去看医生,他们抽出一小瓶血,经过处理,以确定是否存在健康问题。比如某些形式的疾病或维生素和矿物质过少或堆积等等因素,均表明我们的身体出了问题,需要就医治疗,以免情况恶化。
遥测数据也是如此,只不过它指的是 Mac 机群的整体健康状况。遥测是从 Mac 内各种来源和子系统收集数据的最终结果,描绘了端点的健康状况,并据此告知应采取哪些补救工作流程来纠正已识别的问题,以便:
- 降低风险
- 保证数据安全
- 维护用户隐私
- 保持合规
"如果无法测量,就无法改进。" - Lord Kelvin
遥测的工作原理?
在 “what” 和 “why” 的帮助下,现在我们透过一些场景来说明遥测的工作原理。在这些场景中,收集和分析粒度遥测数据是以下工作必不可少的:
- 识别安全威胁
- 解决安全事故
- 遵守规定
您的组织可能是所属行业的目标和/或与所属行业相关,因而受到政府监督。
威胁防御和调查
如前所述,IT 和安全团队可以从设备健康信息中了解到必要的详细信息,以便充分保护端点,而遥测数据精细而深刻,对于系统哪些部分需要补救一清二楚。既可以很简单,例如某个应用程序没有更新,也可以很重要,例如某个关键的 macOS 安全更新(修补某个严重程度很高的漏洞)。
如果没有这些丰富的遥测数据,管理员无法了解机群,也就无法主动针对此类威胁做出补救。这使得受影响的设备不受保护,面临坏人利用的风险,甚至可能更糟。
同样,我们假设发生了上述漏洞未修补的例子,设备不幸遭人利用,导致设备受损。用户可能会报告他们的 Mac 发生了一些奇怪的事情,但管理员将很难准确理解发生了什么以及为什么会发生。将问题分类以便确定后续步骤,就需要这两个关键信息。
这是遥测数据的另一个分水岭,因为有了它,管理员就有了这些问题的答案,能够追踪该漏洞如何形成,以及如何到达系统目前所处的状况。有了这些数据,就可以执行补救工作流程,清除威胁,补救漏洞,恢复用户 Mac 的功能,减轻威胁,并在这个过程中节省时间,无论在何种攻击中,这都是至关重要的。
监管合规
早些时候,我们谈到了合规问题,更具体地说是政府对高度监管行业的监督这方面的例子包括医疗保健、金融技术和教育。根据您公司的所在地,某些地方、州、联邦和/或区域法律可能适用。此外,无论您的组织在哪些国家/地区开展业务,也需要符合这些地区的监管要求,例如若组织向欧洲公民收集个人身份信息 (PII),皆须执行 GDPR 及其用户隐私保护,无论您的组织是否实际在欧洲设有办事处。
事实上,许多关于监管监督的政府安全政策都要求实施遥测,以证明组织正在积极采取措施遵守法规。一般指导原则:如果不能证实数据受到保护,那么数据便是没有受到保护。
别弄错,仅有遥测数据并不等同于合规。但是,如果您的组织实施了适当的控制和政策,以确保合规数据类型的安全,以及采取必要的检查和平衡来保持合规,那么在收集丰富的遥测数据时便会体现这一点,并且在审计期间,使用遥测数据来验证是否遵守监管规定。
网络安全保险
随着安全威胁的增长和风险的增加,众多组织普遍在安全策略中选择网络安全保险以抵御风险,这一点也不奇怪。尽管如此,据 CNBC 报道,最近组织纷纷对保险公司收紧政策感到担忧,“部分原因在于网络攻击的频率、严重性和成本”,这就意味着组织可能更难获得网络保险,或者承保范围的局限迫使组织在承保过程中面临更多的审查。
后者表明了一种可能的转变,即保险公司要求核实风险缓解策略已经到位并积极执行,才能获得和/或持有保险。这与其他行业的保险公司并无不同,例如,汽车和房屋保险包含了要求车主或房主尽职尽责保有其汽车和房屋的条款,因为不这样做可能导致保险无效。在这种情况下,遥测公司代表相关组织核实这种尽职调查,提供证据,证明已经按照保险要求实施了必要的安全控制和政策。
再进一步说,假设您的组织有网络保险,并不幸成为网络攻击的受害者。您可能在想,发生损害时,遥测怎么帮助您呢?
如前所述,遥测数据对于内部调查和刑事调查仍然是至关重要的。此外,为网络保险索赔收集证据,以确定实际发生的情况、如何发生,以及可能的作恶者,遥测数据也起着至关重要的作用,随着人们对内部威胁和这些类型攻击可能具有的破坏性的认识不断提高,尤其如此。最后,遥测数据有助于数字取证专家从看似无关紧要的数据工件中收集重要的细节。
Jamf Protect 是遥测(等等)
Jamf Protect 是专为 Mac 特制的端点安全工具。你们都知道的。
但是您是否知道,Jamf Protect 对 Mac 机群的情况一清二楚,这是得到了遥测数据的支持并直接从中获知。而遥测数据是 Jamf Protect 从每个托管端点主动收集得来。
没错!由于 Jamf Protect 持续监控 Mac 端点的威胁,这项活动以及所有活动均在日志数据(遥测)中产生条目。这些信息通过 Jamf Protect 代理发送到基于云的控制台,或您首选的安全信息和事件管理 (SIEM) 解决方案(本系列的第二篇博客对此有更多介绍)。
IT 和安全专业人员收到这些数据之后,便将其用于主动监控和检测环境中 macOS 计算机上的未知威胁。随着代理版本 3.6.0.727 的发布,提供了 Protect Telemetry 和 Protect Offline Deployment 模式的新功能。
前者已在本博客中讨论过,并将在本系列的未来几期中继续讨论。后者整合了 Jamf 之前收购的大部分数据流功能集,而 Compliance Reporter 适用于所有 Jamf Protect 客户!
您是否知道 Mac 端点在哪里?
Jamf Protect 的遥测数据知道,也知道端点以往所做的一切事情。