Bezpečnostní počítačový audit

Vycházíme-li ze skutečnosti, že každý počítačový systém může být napaden zevnitř a že mnoho systémů může b...


Vycházíme-li ze skutečnosti, že každý počítačový systém může být napaden
zevnitř a že mnoho systémů může být napadeno při získání neautorizovaného
přístupu i zvenku, důležitou vlastností systému je zajištění prokazatelné
zodpovědnosti.
Prokazatelná zodpovědnost zajišťuje, že je zaznamenána relevantní informace o
činnostech a procesech, vykonaných uživatelem nebo jeho jménem tak, aby
následky takových činností mohly být později propojeny s dotyčným uživatelem a
ten pak mohl být shledán zodpovědným za svou činnost. Dalším důležitým
požadavkem je, aby významné události byly zaznamenávány, aby zaznamenávací
mechanismy nemohly být zničeny, aby zaznamenané údaje byly bezpečně uchovány.
Služby auditu takovouto politiku podporují. Pro funkci výkonu auditu je dále
nutná implementace principu oddělení povinností pracovník analyzující výsledky
bezpečnostního auditního záznamu musí být nezávislý na samotném zpracování i na
vedení organizace.
Samotný anglický termín au-dit, překládaný obvykle jako audit, revize,
kontrola, k nám přišel až s moderními postupy hospodaření podniků, fungujícími
v tržní ekonomice. (Ještě Encyklopedický slovník, Academia 1980, tento termín
nezná a uvádí pod heslem auditor: dřívější název vojenského soudce). Dnes se
již pojem vnitřního, vnějšího či účetního auditu stal běžnou součástí našeho
ekonomického (i politického) života.
Bezpečnostní audit
Jedná se o nezávislé zkoumání a revizi záznamů a činností systému. Cílem
bezpečnostního audi-tu je pomáhat při identifikaci a analýze neautorizovaných
činností nebo útoků na systém, shromažďovat důkazy, které mohou být použity při
soudním stíhání útočníka, testovat přiměřenost bezpečnostní politiky a
doporučit eventuální změny v bezpečnostní politice. Audit slouží ke sledování
legitimních i falešných transakcí v průběhu zpracování, k zajištění
autentičnosti a spolehlivosti SW, ke kontrole transakcí, které se neřídí danými
standardy, k identifikaci existujících a potenciálních problémů.
Bezpečnostní auditní záznam
Představuje vlastně deník událostí, které mají vztah k bezpečnosti. Je
pravidelně shromažďován a využíván při provádění bezpečnostního auditu:
zachycuje čas, pořadí a povahu událostí, které jsou předmětem zájmu, a
samozřejmě údaj o tom, kdo je za danou činnost zodpovědný.
Bezpečnostní auditní záznam zaznamenává jakékoliv podezřelé události, které by
mohly generovat bezpečnostní alarm. Zaznamenává i mnoho rutinních událostí,
jako je např. ustavení a ukončení spojení, používání bezpečnostních mechanismů
a přístupy k citlivým zdrojům. Události mohou být zjišťovány ve stejném ale i v
jiném systému, než v kterém je log bezpečnostního auditního záznamu udržován.
Bezpečnostní auditní záznamy nejsou přímo zapojeny do prevence případného
narušení bezpečnosti. Pro prevenci zločinu je však z psychologického hlediska
nepochybně odstrašující již samotná informace o tom, že je bezpečnostní audit
prováděn. Čím více je povědomí o provádění auditu v dané organizaci nebo
systému rozšířeno, tím je pravděpodobnější, že zabrání tomu, aby se některé
nezákonné aktivity vůbec vyskytly.
Stejně jako přístupová hesla, je nutné i bezpečnostní auditní záznamy považovat
za velmi citlivé informace a podle toho s nimi i zacházet. Zkušený pachatel
počítačového zločinu se vždy snaží po sobě smazat všechny stopy, tedy i
bezpečnostní auditní záznam. Součástí důvěryhodného výpočetního systému je
proto vždy i bezpečné generování a uchování bezpečnostního auditního záznamu.
Se službou bezpečnostního auditu úzce souvisí služba bezpečnostního alarmu.
Bezpečnostní alarm je spuštěn v případě, že došlo ke zjištění jakékoliv
události, vztahující se k bezpečnosti. Předpokladem ovšem je, aby byla daná
událost definována bezpečnostní politikou jako podmínka bezpečnostního alarmu.
Detekce průniku
Jedná se o obecný termín pro automatizované metody, které mohou upozornit
bezpečnostního administrátora na možná narušení bezpečnosti. Hlavním cílem
těchto metod je zjistit neobvyklé aktivity, jako je např. velký počet
neúspěšných pokusů o vstup do systému z jednoho místa nebo třeba velký počet
pokusů o přístup do počítačového souboru hesel. Použité metody jsou typicky
založe-né na statistické analýze nebo expertních systémech. Detekce průniku je
velmi silný bezpečnostní nástroj, který má schopnost čelit útokům vnitřních
vetřelců, kteří zneužívají svá privilegia, nebo útokům, které jsou výsledkem
ztracených nebo ukradených hesel nebo kryptografických klíčů.
Auditní postupy můžeme rozdělit do následujících fází:
fáze detekce je zjištěna událost, která má vztah k bezpečnosti,
fáze rozlišovací určuje, zda je nutné zaznamenat událost do bezpečnostního
auditního záznamu nebo spustit alarm,
fáze zpracování alarmu je spuštěn alarm nebo je vydána bezpečnostní auditní
zpráva,
fáze analýzy událost, vztahující se k bezpečnosti je posouzena v kontextu dříve
zjištěných zpráv, zaznamenaných v bezpečnostním záznamu a je určen průběh
činnosti,
fáze agregační distribuované záznamy dílčích bezpečnostních auditních záznamů
jsou spojeny do jednoho bezpečnostního auditního záznamu,
fáze generování zprávy z bezpečnostních auditních záznamů jsou vytvořeny
auditní zprávy,
fáze archivace dílčí části bezpečnostního auditního záznamu jsou uloženy do
archivu bezpečnostních auditních záznamů.
Činnost bezpečnostního auditu by měla být řízena politikou bezpečnostního
auditu, která definuje, co jsou události, které mají vztah k bezpečnosti a
pravidla, která by měla být použita pro sběr, zaznamenání (do auditního
záznamu) a analýzu různých událostí, které mají vztah k bezpečnosti.
Bezpečnostní auditní záznam musí být chráněn před neoprávněným odhalením a před
neoprávněnou změnou. K ochraně mohou být použity mechanismy na zajištění
kontroly přístupu, důvěrnosti, integrity a autentizace. Auditní záznamy by měly
být ukládány na médium, na které je možný zápis pouze jednou, aby nebylo možné
záznam vymazat přepsáním média.
Ochrana služby bezpečnostního auditu je zaměřena především na dostupnost
služby. Informace určená pro bezpečnostního auditora ztrácí po určité době
svoji hodnotu.
Pro účinnou analýzu událostí je obvykle použita metoda filtrovacího mechanismu,
která se řídí předem stanovenými kritérii. Kritéria obsahují čas, čítač mezní
hodnoty, typ události a entitu, která událost způsobila.
Pro poskytnutí služby bezpečnostního auditu není k dispozici nějaký jediný
specifický mechanismus; používají se postupy, založené na některých řídicích a
operativních přístupech.
V prostředí OSI (Propojování otevřených systémů) jsou doporučeny k auditu
následující typy událostí, které mají vztah k bezpečnosti:
činnosti, které se vztahují k řízení bezpečnostních informací,
činnosti, které mění soubor událostí, které mají být předmětem auditu,
činnosti, které mění identifikaci objektů, které mají být předmětem auditu.
Mezi události, které mohou být předmětem auditu, patří:
události se vztahem k bezpečnosti, týkající se specifických spojení,
události se vztahem k bezpečnosti, týkající se použití bezpečnostních služeb,
události se vztahem k bezpečnosti, týkající se managementu.
Minimální seznam událostí, které mohou podléhat auditu, zahrnuje:
odmítnutí přístupu
autentizaci
změnu atributu
vytvoření objektu
vymazání objektu
změnu objektu
použití privilegií
V podmínkách služeb individuální bezpečnosti jsou např. důležité tyto události
se vztahem k bezpečnosti ověření úspěšné autentizace nebo jejího selhání,
rozhodnutí o úspěšném přístupu nebo o jeho selhání, nepopiratelnost původu
zprávy a nepopiratelnost přijetí zprávy, neúspěšné popření zprávy, úspěšné
popření zprávy a další.
Jak tedy postupovat v praxi? Nejlepším řešením je samozřejmě zakoupit systém,
který má tvorbu auditních záznamů zabudovanou. Je ovšem nezbytné služby auditu
aktivně využívat. V jiných případech je možným řešením dodatečné zakoupení
vhodného softwarového balíku. Jedná se např. o The Barefoot Auditor firmy
Pathfinder, Dr Solomons Audit firmy Dr Solomons Software, NetCensus firmy Tally
Systems nebo Visual Audit Pro firmy Visionsoft Limited.
Závěr
Vedení organizace si často uvědomí význam počítačového auditu až v okamžiku,
kdy dojde k počítačovému zločinu. Policisté by jistě mohli uvést řadu příkla-
dů, kdy v plně automatizovaném systému nezůstane žádná stopa o spáchané
činnosti. Právě při analýze trestného činu je velmi usnadněna práce
vyšetřovatelů, je-li k dispozici bezpečně uschovaný a neporušený auditní
záznam, obsahující informace o tom, kdo, kdy a co dělal na vašem systému. V
systémech, pracujících s cennými nebo citlivými daty, by ovšem měla být
implementace a pravidelná analýza bezpečnostního auditu povinná. Neměl by mít
funkci pouze následnou, ale i preventivní.
A jestliže mají interní nebo externí auditoři vykonávat svou práci zodpovědně,
neobejdou se s ohledem na podnikové činnosti vykonávané prostřednictvím
počítačů a sítí bez specializace na bezpečnostní počítačový audit.
8 2193 / ram









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.