Как да се справим с лавината от записани данни в дневниците

Напоследък финансовите скандали, кражби и злоупотребите с персонални, частни и клиентски данни доведоха до приемане на нови закони и отраслови инструкции. Те се изискват от компаниите, защитаващи конфиденциални данни и достъпа до информация и приложения. Постоянно усложняващата се пирамида от правила, основното от които е одобреният през 2002 г. от американския конгрес закон Сарбейн-Оксли (SOX), налага правила за щателното и надеждно съхранение на информация не само за сътрудниците, но и за клиентите, партньорите и доставчиците. Разбира се, това не е единствената законодателна бариера, която трябва да се преодолее от фирмите. Много американски компании са принудени да съблюдават и „Закона за патриотизма“ от 2001 г., постановяващ борсов надзор SEC 17a-3 и 17a-4, и Закона за приемствеността и подотчетността в областта на застраховането на здравето (Health Insurance Portability and Accountability Act, HIPAA).

В Европа SOX е само един от проблемите. Много европейски фирми, които се търгуват на фондовата борса, още в 2005 г. въвеждат система за отчетност на база международен стандарт за финансов отчет (International Financial Reporting Standards, IFRS). Банките са длъжни да съблюдават новите изисквания при раздаване на кредити в съответствие с Basel II, и същевременно се очаква през 2010 г. да започне да действа новата норма за управление на риска в областта на застраховането Solvency II. Тези нормативни документи принуждават фирмите да инвестират в осигуряването на подходящи мерки за безопасност, за да избегнат неприятности и да докажат надеждността си пред клиентите си.

В резултат се създава нов пазар на софтуер, който аналитичната компания IDC нарича обобщаващо „съответствие и управление на безопасност“. Security Compliance and Control, SCC). SCC включва продукти, свързани с правни норми в следните области: управление на съдържание, управление на идентификация и достъп, управление на безопасност и уязвимост, а също и услуги за контрол на спазването на директивите, гарантиращи безопасността. Решенията за SCC играят ключова роля по въпросите на спазването на правните норми и осигуряването на безопасност, което, по мнение на IDC, ще придобива все по-голямо значение в стратегията за управление на компаниите и управление на риска.

Безопасност, законност и файлове със системни дневници

Появата на инструкции за осигуряване на безопасността и спазване на законодателните норми налага на компанията да пази, архивира и защитава информацията, свързана със сигурността за дълъг период от време. Събраната информация в такъв вид в системните дневници става критична за фирмите и на нея трябва да се обърне особено внимание. Тъй като събирането и консолидирането на системните дневници трябва да бъде фиксирано в правила) на фирмите и трябва да се оценяват както събирането, така и защитата на основните (постоянни) и текущите (изменящи) се данни.

В огромните компании със сложни структури броят на системните дневници е толкова голям, че е почти невъзможно да се анализира ръчно. Например една защитна стена (firewall) в общината в Мюнхен ежедневно генерира системни дневници с обем над 100 MB. Почти всички технологии генерират системни дневници: операционни системи, уеб сървъри, приложения, маршрутизатори и комутатори съхраняват информация за събития и др. Необходимо е взимане на решение за това какви системни дневници следва да се пазят за бъдещ анализ и какви не. Създаването и съхраняването може да се усложни от различни фактори. Сред тях е не само големият брой системни дневници, а и несъответствие на съдържанието, различни формати и различно часово време на отделните източници (вж. схема 1). Управлението на системни дневници включва също защита, конфиденциалност, цялостност и готовност.

Успехът на управлението на системните дневници зависи от развитието на стандартизацията на процесите. На фаза планиране компанията вече е длъжна да е определила задачите. На тяхна основа следва да се разработят принципите за съответствие, с които ще се приемат правилата и изисквания за дейността по управлението на системните дневници. Към тях се отнасят създаване, предаване, съхранение, анализ и премахване на системните дневници. Освен това ръководството на фирмата е длъжно да стимулира използването и внедряването на система за управление на системните дневници.

Много важен момент е съхранението на оригиналите. Нерядко копия на дневници с данни за събития в мрежата се записват на централния дисков масив, а за анализ и интерпретация на мрежовия трафик се използват специални инструменти. Ако се очаква системните дневници да бъдат представяни в съда в качеството си на доказателствен материал, то за потвърждаване достоверността на копията и правилната интерпретация е необходим именно оригиналът (вж. Схема 2). Съхранението на такъв вид системни журнали трябва да се организира с голяма надеждност, за да се изключи манипулация, например от страна на системния администратор.

Към типичните задачи за управление на системни дневници се отнася също конфигурирането на източниците на дневници, техният анализ, съставянето на съобщения за обратна връзка, подготовката на юридически отчет и дългосрочното съхранение. Освен това системните администратори отговарят за наблюдение на статуса на всички дневници, архивиране, проверка за обновление, прилагане на „кръпки“ на софтуера за създаване на дневници, синхронизация на часа на системните дневници с един източник, проверка за налични аномалии в настройките и контрол на процесите и конфигурациите.

Още един важен пункт е ротацията на системните дневници. Под този термин се разбира периодичното съхранение на дневници, като при този процес всички събрани данни ежедневно се копират, а след това се премахват, като на тяхно място идват нови и този цикъл започва наново. По този начин администраторът може бързо да намери необходимия дневник и да „компресира стария“. Обикновено ротацията при бързо запълващи се дневници се прави ежедневно, а при по-слабо – всяка седмица или веднъж в месеца.

Автоматизирано управление на дневници

За събирането и консолидацията на системните дневници са необходими специални програми за резервно копиране или йерархични приложения за съхранение. Тези системи са предназначени да съхраняват и архивират данни и да изпълняват своите задачи с определена периодичност – ежеседмично или ежедневно. Единствено в редки случаи събитията се записват през зададен интервал от няколко часа или минути. Тази форма на резервно копиране не позволява да се направи анализ, а ако позволяваше, то щеше да е със значителни усилия. Затова е необходимо да се автоматизира събирането и консолидирането на системните дневници. По този начин ИТ отделът пести време, а и рискът от загуба на данни ще бъде сведен до минимум. Това може да се осъществи с помощта на подходящ софтуер – например Security Manager на NetIQ.

Приложенията събират, консолидират и архивират данните, свързани с безопасността и съблюдаването на правови норми, а след това тези данни се анализират. Така наречените програмни агенти – неголеми програми, които могат да бъдат инсталирани на произволен източник на системен дневник - събират данни на едно място и така създават обща картина за всички събития. Агентите могат да отправят предупреждения към централния компютър, а в допълнение към своята основна дейност могат да осигуряват предаване на събития, гарантирайки, от една страна, самото предаване, а от друга, неговата безопасност, като така се избягва манипулирането на данни. Освен това агентите компресират данни за събития, така че да не се препълни централното хранилище и позволяват реализиране на защита и реагиране в реално време, както се изисква от процеса.

Обаче в някои сценарии използването на агенти е невъзможно или нежелателно. Понякога сървърите и контролерите на централния компютър консолидират събития с помощта на общ протокол например Syslog или SNMP, или чрез специален софтуерен интерфейс за това устройство. Наблюдението на устройства без инсталирани агенти покрива маршрутизатори, комутатори, защитни стени, мрежови приложения, Windows сървъри, а така също системи за откриване и предотвратяване на прониквания (Intrusion Detection System/ Intrusion Prevention System, IDS/IPS).

Разбира се, при консолидирането на данни възниква още един съществен проблем: всяко крайно устройство, водещо системен дневник, форматира своите записи по различен начин - в зависимост от технологията и в зависимост от производителя. Вследствие дори всички записи за всички приложими технологии да се съхраняват в централен компютър надеждно и в кратка форма, това не означава, че те могат да бъдат сравнявани едни с други. Необходимо е да се намери общ „език“, чрез който системните дневници да могат да бъдат прочетени, сравнени и анализирани качествено. Един от най-широкоразпространените единни формати е форматът за обмен на съобщения относно откриването на пробиви (Intrusion Detection Message Exchange Format, IDMEF), предложен от IETF.

Системните дневници съдържат важни данни като името на потребителя, пароли или финансови данни. Тези сведения трябва да бъдат защитени и недостъпни за трети лица. Компаниите задължително трябва да осигурят тяхната цялост. За надеждно предаване и съхранение на данните от системните дневници в хетерогенни системи или при използване на най-добрите в своя клас системи, трябва да се спазват 3 условия:

Всички данни трябва да се предават по кодиран канал. След предаването на данните те се преобразуват в единен формат и се съхраняват в централното хранилище (в идеалния случай), достъпът до който трябва да е ограничен. Този процес позволява да се гарантира признаване на събития и системни дневници в съда. Регулярният анализ на събитията, свързани с безопасността, се явява основа за оценка на източниците на опасност и действия, предприемани, за да се предотвратят нахлувания. Анализът на системните дневници способства и за повишаване на ефективността на системата и води до разпознаване на „пролуки“ в сигурността. Например ако системният администратор установи, че обемът на предупреждения от системата за откриване на вредители през последните 6 месеца се е увеличила, това може да доведе до проверка на надеждността на защитната стена.

Като цяло се различават три различни вида отчети. Стандартните отчети сумират данните от логовете. Те предлагат множество различни секции със събития, свързани с безопасността – от цялата компания до определени отделни сървъри.

Първият вид е сведението за всички записи в системните дневници, които системата IDS е регистрирала за последните 24 часа (чрез сканиране на портове), документирала е пропаднали опити за достъп, а така също всички събития във всички системи за последните 30 дни. Лесно се открива, че анулирани или неоторизирани потребители са се опитвали да получат достъп до системата. Желателно е да се сравнят всички събития, дошли от IDS и свързани с троянски коне, за да се направи оценка къде са слабите места, кога е имало проникване и използвал ли е троянският кон слабите места на системата.

Вторият тип отчети са споменатите за анализ на тенденции. Тенденцията се определя от сравнението на различни събития за определен период от време. Чрез събирането на данни и тяхното задълбочено изучаване (Online Analytical Processing, OLAP) анализът на тенденции е много ефективен метод за изследване на данни, свързани със събития.

Третата възможност – съставяне на отчети в съответствие със законодателните изисквания. Става въпрос не за дълбоко разбиране на случилото се, а за това, че такъв доклад трябва да бъде признат в съда в качеството на доказателство. Съдебният доклад, който се базира на анализ на системни дневници, е длъжен да дава отговори на следните въпроси: „Какво се е случило? Кога? Къде? Поради каква причина? Кой го засяга това?“.

Заключение

Сложният проблем, касаещ воденето на системни дневници, може да се реши с помощта на съвременните софтуерни приложения, но за компаниите е важно да разберат какви предписания се отнасят към защитата на данните им. Безкрайният поток от записи от дневниците обаче ги принуждава да направят неизбежен избор, за да се съблюдават нормативните изисквания и да се гарантира безопасността. Събирането на всички системни дневници при липсата на възможност за провеждане на анализ има малък смисъл и е равносилно на отказ за събиране на такава информация. Управлението на системните дневници донася повече ползи, когато става въпрос за постигането на целите на компаниите.

Последни новини

• Стартира проектът „ТОП ИКТ Работодател“
• В 29 общини и 24 малки селища ще се изгражда инфраструктура за ШЛ интернет по проект на ЕСМИС
• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ

Активни теми във форума

• » Само за родители и кандидат-родители
• » Питай Малинка - сайт за въпроси и отговори
• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.