Sbírat, či nesbírat -- to je to, oč tu běží…

9. 10. 2011

Sdílet

Dlouhodobé uchování bezpečnostních událostí a jejich následná analýza. Nezbytnost nebo ztráta času?

Důvodů, proč se věnovat dlouhodobému uchovávání bezpečnostních událostí, je mnoho. Může to být například povinnost plnit vybrané zákonné předpisy, požadavky plynoucí od mateřské společnosti, která podléhá různým regulacím (SOX, HIPAA, IEEE..), nebo může jít o požadavek daný interní politikou společnosti.

Velmi častým důvodem je také to, že administrátorům není lhostejné, co se v jejich infrastruktuře děje. Nejčastějším důvodem je dnes poměrně atraktivní norma ISO 27000 – Management bezpečnosti informací. Ten, kdo se jí pokusí „prokousat“, narazí na kapitolu, která se zabývá řízením komunikací a provozu. A důvod poohlédnout se po nějakém nástroji, který pomůže tuto problematiku vyřešit, je na světě.

Jako příklad je možné zmínit společnost, která oblast systémového managementu svěřila do rukou jedné platformě. Rozhodnutí to je zřejmě správné, protože tak lze dosáhnout toho, aby všechny oblasti byly spravovány nástroji, které mají společnou nebo podobnou architekturu, mají společné intuitivní ovládání, ale hlavně spolu dokážou spolupracovat na vysoké úrovni, a vzájemně tak využívat své schopnosti a vlastnosti.

Jedním z takovýchto řešení může být například „rodina“ System Center od společnosti Microsoft. V tomto případě zejména produkt System Center Operations Manager, tedy proaktivní dohledový systém schopný monitorovat heterogenní prostředí.

 

Realita

Jak se na celou problematiku dívají sami administrátoři? Mají přehled o tom, jak se uživatelé autentizují? Jsou schopni zjistit, kdo, kdy a jak nakládal s účty uživatelů? Mají přehled o tom, kdo zasahuje do členství v citlivých skupinách a mění konfiguraci klíčových oblastí Active Directory? Jsou schopni doložit neoprávněné přístupy do vybraných adresářů? Takovýchto otázek je mnoho, a pokud u nich převládá negativní odpověď, je vhodné se začíst dál.

Security Log. Tento magický log je všem známý, ale málokdo ho má rád. Není divu. Obecně je vnímán jako log, do kterého se neustále „něco“ sype, a toho „něčeho“ je opravdu hodně. Všichni se hrozí situace, kdy budou v něm muset ogu dohledat nějakou klíčovou informaci.

Pokud je někdo v jeho čtení zdatný a dokáže si vše podstatné vyfiltrovat, narazí velmi pravděpodobně na skutečnost, že potřebná data už v logu nejsou. Ve větších prostředích a výchozím nastavení tohoto logu je běžné, že je automaticky přepsán během několika (málo) hodin. Nezbývá tedy nic jiného, než tato data uchovat a hlavně uživatelsky zpřístupnit.

Je samozřejmě možné využít různé komerční nástroje, které ovšem mohou významně zasáhnout do našeho rozpočtu. V tom lze využít funkcionality provozovaného dohledového systému označovaného jako Audit Collection Services. Zcela zásadním poznatkem je, že tato funkcionalita je již obsažena v licencích Operations Manageru.

 

Terminus technikus

A jak tato technologie funguje v nejmenším možném rozsahu implementace, tedy jednom dohledovém serveru (management server) s několika dohledovanými servery (agenty)?  Po instalaci komponenty ACS začne management server plnit roli „sběrače“ (ACS Collector). Ten má svoji vlastní SQL databázi, do které ukládá všechna data a jež může být umístěna na libovolném SQL serveru, nejlépe však zcela mimo doménu (a správu) AD.

Na každém dohledovaném serveru „spí“ služba ACS Forwarder. Pokud je v systému ACS aktivována, začnou se všechny security logy (kopie) posílat na kolektor, ten záznamy zpracuje a uloží do SQL databáze.

Na řadu pak přichází SQL reporting services, díky kterému je možné zpřístupnit všechna data formou přehledných reportů, kterých je možné vytvářet libovolné množství. Úroveň zabezpečení celého řešení ACS a rozsah auditu jsou vždy dány specifickými požadavky prostředí.

Vše, co je zaznamenáno do security logu, můžeme analyzovat formou reportů. Samozřejmostí je maximálně zabezpečit jakýkoliv konfigurační zásah do infrastruktury ACS. Zde je možné se řídit pravidlem, že co není možné dostatečně zabezpečit, je nutné zachytit a uchovat alespoň auditem. Pokud je tedy security log vědomě smazán, nejenže má firma všechna data v SQL, ale zároveň i informaci, kdo a kdy jej smazal.

ICTS24

Operations Manager je ale možné využít také k monitorování všech bezpečnostních událostí v reálném čase. To znamená, že například o přidání uživatele do skupiny Domain Administrators je možné být okamžitě informován SMS zprávou.

Autor pracuje jako senior consultant ve společnosti Agcom.