Znaczenie zarządzania logami dla bezpieczeństwa organizacji

W artykule postaramy się przybliżyć tematykę zbierania i analizy szeroko rozumianych logów systemów informatycznych. Wyjaśnimy przy okazji, czym jest ostatnio popularne ostatnio pojęcie SIEM.

Cechą wszystkich systemów informatycznych jest to, że zapisują logi, czyli prowadzą dzienniki swoich działań. Bez logów niemożliwe byłoby zarówno bieżące nadzorowanie takich systemów, jak też dochodzenie przyczyn ich awarii. Logi systemowe mogą być także kopalnią wiedzy na temat zagrożeń i ataków, z którymi przychodzi mierzyć się serwerom i aplikacjom. Niestety, to ostatnie zastosowanie najczęściej jest zaniedbywane.  

Każdy, kto kiedyś zaglądał w dzienniki jakiejś aplikacji dostępnej w sieci, choćby wewnętrznej, zdaje sobie sprawę, jak bogate życiea ona prowadzi: loguje użytkowników  bądź odmawia zalogowania, dostarcza określonych zasobów, wchodzi w interakcje z innymi systemami, nawiązuje własne połączenia, miewa problemy z działaniem, zamyka się i jest uruchamiana – przykładów jest wiele. Wśród takich rejestrowanych działań oczywiście mogą pojawiać się też takie, które wynikają z prowadzonego ataku (bo atak sieciowy to pewna sekwencja zdarzeń odnotowanych na poszczególnych urządzeniach), bądź już jego konsekwencji (np. wyprowadzanie danych). To teraz wyobraźmy sobie firmę, gdzie mamy serwery HTTP,  load balancery, serwery backupu, program kadrowy, aplikację do fakturowania, serwer dyskowy, programy antywirusowe i wszystko to spięte infrastrukturą sieciową, która także składa się z podsystemów, jak przełączniki, routery, access pointy czy zapory sieciowe. Każdy z tych elementów jest źródłem logów. Każde takie źródło podczas ataku cybernetycznego wygeneruje i zapisze informacje, które danego ataku będą dotyczyć.

Wyobraźmy sobie zatem, jaką ilość informacji firma powinna przetworzyć, żeby trzymać rękę na pulsie.  Przyjrzyjmy się teraz, dlaczego jednak warto to robić i jak można sobie taką pracę ułatwić.

Ze wszelakich statystyk wynika, że w cyklu życia incydentu najdłuższy jest czas od wykonania ataku do momentu jego wykrycia, który to najczęściej wynosi tygodnie lub miesiące (polecamy tu np. coroczne raporty Verizon).  W tymże okresie atakujący prawdopodobnie będą buszować po serwerze i sieci lokalnej ofiary, prowadząc podsłuch, wyprowadzając dane i próbując kompromitować kolejne systemy. Dlatego codzienna analiza logów powinna być częścią obowiązków administratora systemów IT, tak samo jak bieżąca obsługa takich systemów, wgrywanie aktualizacji itd. Wykonywanie obowiązku monitoringu logów można sobie na szczęście ułatwić, choćby gromadząc wszystkie dzienniki w jednym miejscu – a konkretnie systemie, który je będzie agregował. Taki system nosi fachową nazwę “loghost” i spowoduje, że nie trzeba będzie przeglądać logów na każdym systemie IT z osobna. Przede wszystkim jednak, widząc zdarzenia ze wszystkich systemów w jednym zestawieniu, doświadczony administrator może zauważyć związki (korelacje) pomiędzy nimi i wyciągnąć czasem krytyczne dla firmy wnioski.

Monitoring logów można zoptymalizować jeszcze bardziej. Stanie się to dzięki zastosowaniu aplikacji, którae będzie nie tylko logi agregować, ale także znajdować korelację pomiędzy nadesłanymi danymi i samoczynnie oceniać stopień zagrożenia na bazie pojedynczych, jak też skorelowanych informacji. Aplikacja taka może robić to w czasie rzeczywistym, wysyłając powiadomienia o sytuacjach, które uzna za groźne. Takie aplikacje nazywamy SIEM (Security Information and Event Management) i obecnie notujemy na rynku ogromny wzrost ich popularności.  Siła SIEM-ów leży przede wszystkim w dużej liczbie i jakości reguł korelacji, która jest w nie wbudowana. Reguły te odzwierciedlają sekwencje różnych ataków i wynikają z doświadczeń producentów SIEM, gromadzonych często latami, podczas monitorowania cyberprzestrzeni, jak też analizy konkretnych przypadków włamań. Ponadto aplikacje tego typu umożliwiają długoterminowe przechowywanie danych historycznych – a takie mogą być potrzebne, gdyby jednak doszło do włamania i trzeba by prześledzić jego historię. Środowiska IT w firmach mają raczej tendencje rozwojowe, podobnie jak liczba ataków na świecie.  Wymaga to zastosowania skalowalnego rozwiązania do analizy logów. Systemy SIEM wpisują się dobrze w takie potrzeby. Zwykle wraz ze wzrostem liczby źródeł danych do analizy wystarczy rozbudować zasoby sprzętowe systemu. Rynek aplikacji SIEM także nie będzie więc malał. Klient musi tylko dobrze wybrać. Jak ? – polecamy choćby zajrzeć do raportów Gartnera.