Motivace k systematické správě záznamů událostí

Log management je důležitý ze dvou důvodů. Tím prvním je operativní sledování toho, co se právě aktuálně děje v síti, s cílem zamezit či předejít bezpečnostním incidentům. Většinou se jedná o technické záležitosti typu poruchy ukládacích médií či výpadku webového přístupu, které se často ohlašují dopředu prostřednictvím specifických záznamů do logů.
Druhým a stále významnějším důvodem je možnost zpětného vyšetřování závažné bezpečnostní události. Například podle studie Computer Crime Survey ohlásilo sledovaných 44 procent organizací případy interního zneužití informací. Pokud v těchto případech organizace nearchivuje události, riskuje nejen vlastní škody vyplývající z tohoto zneužití, ale také postih ze strany regulačních orgánů, protože nebude schopná provést zpětnou analýzu. Pokud neexistuje centrální úložiště protokolů událostí, takováto forenzní analýza bývá velmi nákladná, až neproveditelná.
Nebezpečných aktivit ze strany uživatelů počítačových sítí (a tím pádem i zaměstnanců) díky neustálému rozvoji internetu přitom stále přibývá. Dnes k nim můžeme počítat sdílení nelegálního obsahu, finanční a jiné podvody, krádeže duševního vlastnictví a další aktivity. Stále vyšší tlak ze strany zákazníků, regulačních institucí, bezpečnostních manažerů a nakonec i auditorů či vyšetřovatelů na prokazatelnost počítačových aktivit nutí podniky s tímto problémem něco dělat.
Systematický přístup, který není obecně zatím příliš rozšířen, se proto objevuje nejčastěji u těch organizací, které nutí k tomuto přístupu auditor nebo nějaká norma či právní úprava nejčastěji vycházející z britské normy BS 7799, norem ISO/IEC 17799, 27001 apod., dále například z norem závazných pro lékařství (HIPAA) nebo norem pro finanční organizace v oblasti využívání platebních karet (PCI DSS). V některých případech se to týká i organizací státní správy či poskytovatelů telekomunikačních služeb – a stále častěji i poskytovatelů cloudových služeb.

Konzole pro správu

Co lze s pomocí logů sledovat

Cokoliv, co dnes lze připojit do počítačové sítě včetně serverů, routerů, PC, tiskáren, telefonu apod., generuje logy. Průměrná počítačová síť o deseti serverech a sto PC může mít zhruba sto čtyřicet zdrojů generujících logy, které neustále zaznamenávají, co dělají a proč to dělají. S pomocí logů lze odhalit celou řadu aktivit, jako například:

• kdo a z kterého počítače se ve sledovaný okamžik přihlásil do sítě,
• kdo tiskl na tiskárně,
• kdo v daný okamžik otevřel dané dveře svou čipovou kartou,
• kdo, kdy a odkud se přihlásil k webové aplikaci, například k internetovému bankovnictví,
• kdo, kdy a jak změnil konfiguraci sledovaného počítače nebo serveru,
• kdo a kdy třeba jen viděl záznam transakcí či detaily určitého klienta v databázi.

Všechna zařízení připojená do sítě nelze manuálně „obcházet“ a kontrolovat, protože logů je velká spousta – desítky až stovky milionů týdně. Ale na druhou stranu, pokud někdo logy nesleduje, může se dostat do křížku ať již se zaměstnavatelem, nebo dokonce s orgány činnými v trestním řízení. Čili je důležité, aby byly tyto logy někam ukládány a kromě toho ještě dále zpracovávány.

Pravidla pro log management

Řešení

Abychom byli schopni systematicky zjišťovat, co se v podniku děje, je potřeba používat nějaký systém pro správu událostí, který tyto události zaznamenává, třídí, filtruje a archivuje. Velká většina těchto událostí se obvykle týká praktického provozu sítě – typicky proč nefunguje nějaká síťová služba, co tomu předcházelo a jak se vyvarovat podobných problémů do budoucna.
Řešením je systém pro centrální log management, který v zásadě poskytuje informace o tom, kolik událostí do centrálního úložiště přichází, operativní informace o tom, co se právě v síti děje, a identifikaci dlouhodobých trendů. Co by tento systém mě hlavně umět:

• dostat veškeré informace ze všech sledovaných zařízení na jedno místo,
• filtrovat nezajímavé události a třídit informace – například zařízení postavená platformě Windows generují spoustu zbytečných logů,
• archivovat, vyhodnocovat a reportovat získané informace – částečně by měl být systém schopen analyzovat data sám, avšak vždy je potřeba konečnou interpretaci provést zodpovědným člověkem na základě znalosti konkrétního prostředí sítě.

Pokročilá analýza

Každá skupina síťových produktů má nastaveno, jak často budou logy posílány, jaké typy událostí se budou sbírat a co se s nimi bude dělat. Z velkého množství těchto informací je třeba odfiltrovat ty nezajímavé (tzv. noise reduction), protože jinak dojde k zahlcení úložných médií, které mohou v extrémním případě ukládat větší objem logů než samotných podnikových informací. Jejich nefiltrování vede v konečném důsledku ke značnému prodražení systému pro správu logů a k zásadnímu výkonnostnímu dopadu na provozované systémy. Systémy by proto měly umět s pomocí nastavených pravidel odfiltrovat zbytné informace.
Pokud takto odfiltrované logy archivujeme, pak je třeba zajistit jejich snadné vyhledávání. Často vyhledávanými událostmi jsou například přístupy k databázím a přístupy k souborům – tedy informace o tom, kdo a kdy manipuloval s jakým souborem, odkud a případně z jakého počítače. Žádanými informacemi jsou také chybná přihlášení do systému za definované období. Řešení pro log management dnes také dokáže upozorňovat na definované události – například pošle zprávu, pokud uživatel přistoupí k danému souboru nebo pokud se opakovaně chybně hlásí do systému či získá zvýšená oprávnění.

Reportování

Přínosy

Přínosy systematického log managementu jsou opět dvojího druhu. V rámci operativního provozu sítě pomáhá zvýšit uptime sítě díky tomu, že umožňuje mít pod kontrolou informace o aktuálním provozu sítě a jednotlivých komponent a odhalovat výpadky ještě dříve, než nastanou. Dovoluje sledovat aktivitu uživatelů na jejich PC, přístupy k souborům, změny konfigurace a přihlašování do sítě, to vše na jednom místě. Zabudovaná inteligence moderních produktů pomáhá administrátorům identifikovat a analyzovat nejdůležitější události a trendy, které se objevují v jejich systémech.
Druhou oblastí přínosů je poskytnutí spolehlivých dat pro případná forenzní vyšetřování – správně nastavené řešení log managementu dokáže spolehlivě vyhledávat specifické události za definované období. Organizace s tímto řešením také většinou vyhovují nejrůznějším nařízením ohledně správy, monitorování a vyhodnocování informací.
Důležitou součástí systémů pro správu událostí jsou reportovací nástroje. Vedle těch zabudovaných, které vykazují informace důležité pro administrátory, existují navíc nejrůznější reportovací nadstavby pro vykazování manažerských informací, jež poskytují graficky znázorněné trendy. Typicky trendy špatných přihlášení, přidávání či odebrání uživatelů ze sítě apod. Tyto reporty poskytují IT manažerům komplexní pohled na zabezpečení jejich síťové infrastruktury a možnost lepšího strategického rozhodování.

Robert Houser
Autor je technickým ředitelem společnosti GFI Česká republika a Slovensko.