Bezpečnostní logy jako noční můra? Zbavte se jí

21. 12. 2014

Sdílet

 Autor: © Sergej Khackimullin - Fotolia.com
Správci sítě i bezpečnostní manažeři z nich mají respekt a nezbytně je potřebují. Vedoucí pracovníci ale obvykle netuší, o co přesně jde, a systém pro zpracování logů nepodpoří, dokud nezazní klíčové slovo – shoda s regulacemi a zákonnými požadavky. Systémy na správu a vyhodnocování logů však neslouží jen k zaškrtnutí políčka „Zákon o kybernetické bezpečnosti – splněno“, přináší i pomoc při řešení provozních problémů.

Existují odbory a pracovníci, kteří zpracované a vhodně archivované logy ke své činnosti nezbytně potřebují, i když každý z trochu jiného důvodu. Například správci systémů (sítí, bezpečnostních prvků, serverů a aplikací) potřebují logy prohledávat při analýze a řešení provozních problémů. 

Pro bezpečnostní manažery zase představují klíč pro vyhodnocování bezpečnostních událostí. A nově, s účinností zákona o kybernetické bezpečnosti, potřebují mít logy kdykoliv připravené pro předložení organizacím zabývajícím se bezpečností – Cesnet Cerst a Cirst nebo Policii ČR.

 

Společné potíže

Obě skupiny však narážejí na společné problémy. Logy jsou uložené na různých zařízeních, kam mají správci rozdílně omezená přístupová práva, jsou v rozličných formátech, mají různou retenci anebo zařízení mají pro ně vyhrazenou omezenou kapacitu, takže logy jsou k dispozici jen pár dní zpět.

Logy uložené na různých místech lze zpochybnit, modifikovat nebo třeba také záměrně smazat. Právě mazání či pozměnění logů je jednou z činností, které útočník při průniku do systému vždy udělá, aby svoji činnost zakryl.

 

Centrální úložiště

Řešení spočívá ve vytvoření centrálního úložiště, kam všechna zařízení, servery, systémy, aplikace a databáze své logy ukládají. Jenže ty přicházejí v různých formátech. Síťová a bezpečnostní řešení obvykle posílají logy ve formátu Syslog, který ale není jednotný.

RFC 5424 zase popisuje pouze transportní protokol. Logy z aplikací a operačních systémů pak mají formát „file-based log“ a pro něj není žádný standard. První, co tedy musí centrální úložiště tohoto typu udělat, je normalizace logů.

Ty přicházející se proženou tzv. parsery, které ze surové podoby logu rozdělí všechny informace do příslušných polí v databázi – destination IP, source port, time a další. Tím se to celé sjednotí a je možné s tím dále pracovat.

Parsování logů je ale činnost velmi náročná na výkon systému. Před parsovacím strojem musí být buffer, kam se ukládají data při příjmu. Síťová zařízení a systémy totiž v naprosté většině nemají implementovaný způsob ověření doručení logů. Logy se tak odesílají do „černé díry“ a zařízení se nijak nestarají, zda se i doručí.

Centrální úložiště tedy musí mít dostatečný výkon pro nepřetržitý příjem – daný množstvím událostí za sekundu (EPS, Events Per Second). Definovat, kolik EPS všechna zařízení a systémy v síti vygenerují, je tak trochu jako věštění z křišťálové koule – záleží na typu produktů, množství přenesených dat, počtu přihlášených uživatelů, jestli zařízení zrovna náhodou nečelí útoku a na dalších parametrech.

Pro efektivní sběr logů z celé sítě je potřeba v běžných českých podmínkách tisíce EPS. A pokud to příslušné úložiště nezvládne, musí se zapojit do clusteru, a tím zvýšit výkon.

Centrální úložiště logů také musí podporovat režim vysoké dostupnosti. Ten se obvykle implementuje přímo v databázovém stroji a řeší se prostým přidáváním dalšího stroje do skupiny.

V síti existuje mnoho různých zařízení, a proto je důležité si ověřit, zda se právě ta důležitá plně podporují. Ale pozor, parser musí opravdu rozluštit všechny údaje  příchozího logu, nikoliv jen základní, jako jsou čas nebo IP adresy, přičemž to ostatní uloží v  nezpracované podobě. 

Bez vhodného zpracování bude možné data ve vyhodnocovacím a reportovacím subsystému využít jen ve velmi omezené míře.

 

Analytické a prezentační rozhraní

V  podmínkách tuzemské střední a větší počítačové sítě  se vygeneruje zhruba 1,5 miliardy událostí za měsíc, přičemž pro jejich uložení je potřeba nejméně 10 TB. To už jsou big data, nad nimiž se dále pracuje – musejí se prohlížet, třídit, analyzovat či korelovat. Aby uživatelé nemuseli při zadání dotazu do databáze čekat na odpověď hodiny či dny, je nutné, aby úložiště logů mělo opravdu výkonný databázový stroj.

Prezentační rozhraní úložiště logů je to, s čím se pracuje – tady se třídí data, filtrují, vytvářejí dotazy. Je vhodné mít co nejvíce dotazů už připravených, aby je uživatelé nemuseli opakovaně sami vytvářet. A k informacím je dobré se dostat na několik kliknutí.

Autor je manažerem společnosti Compunet.

ICTS24

 

Kompletní článek zahrnující spoustu dalších poznatků, trendů a zajímavostí si můžete přečíst v Computerworldu 13/2014.