Přes problematiku kontroly připojování externích zařízení a další klíčové téma, řízení spouštění aplikací na klientských systémech, se dnes dostáváme k jedné z nejtradičnějších metod zabezpečení a kontroly. Po ukázkách proaktivních postupů se dnes zaměříme spíše na pasivnější, nikoliv však méně důležitou funkcionalitu - jedna z nejcennějších ponaučení bývají ta, jež pocházejí z vlastních chyb, ovšem abychom se měli z čeho poučit, potřebujeme referenční materiál. Jinými slovy, seriózně zabezpečenou síť si nedokážeme představit bez pořizování různě podrobných záznamů událostí, jež vznikají na základě ustavení "sledovací politiky". Tento přístup a jemu odpovídající prostředky v operačních systémech či aplikacích pak bývají běžně označovány jako audit či auditování.
Čemukoliv na stopě
Pod dojmem akční hollywoodské produkce vypadá práce se záznamy událostí jako cokoliv, jen ne jako boj s kybernetickými zločinci a podvodníky. Mnoho administrátorů či návrhářů síťového prostředí podlehlo dojmu, že záznamy o průběhu akcí, mají-li vůbec smysl, jsou užitečné možná na serverech - jenže cenná data nám až příliš často unikají nikoliv ze serverů, kde bývají lépe chráněna, ale právě ze stanic, kde se na to při zanedbání dohledu pomocí auditu často po dlouhou dobu nemusí přijít.
V nejzákladnější a také nejpasivnější podobě jsou záznamy činnosti (často též zvané logy) vlastně jakousi černou skřínkou operačního systému. Nesaháme na ně do chvíle, než dojde k potížím, a poté se snažíme v jejich spleti nalézt souvislosti či příčiny předchozích katastrof. I v této podobě jsou samozřejmě záznamy událostí dosti cenné a přinejmenším bychom měli mít zpracovánu strategii na jejich ukládání mimo běžící stroj, tedy zálohování.
Pokročilejší pasivní formou je zpracovávání dodatečných, nejlépe pravidelných analýz na základě uložených záznamů. Zde si můžeme představit široké spektrum možností od spouštění jednoduchých skriptů, jež procházejí uložené soubory a hledají specifické záznamy, až po velmi pokročilé postupy z oblasti "dolování z databází", tedy data miningu. V pokročilejších formách je pak možné dohledávat i komplikované souvislosti, na něž by bez složité logiky databázových dotazů žádný administrátor přímým pozorováním jistě nepřišel.
Přechodem k aktivnímu využití záznamů událostí jsou postupy pro sledování v reálném čase, jež využívají logy jako svůj zdroj surových dat pro okamžitou analýzu stavu sítě. I zde nalezneme široké rozpětí od jednoduchých řešení, jež dokáží číhat na specifické záznamy a reagovat odesláním e-mailu, až po rozsáhlé systémy, vyhodnocující "vzorce chování" síťového prostředí na základě souborné analýzy tisíců záznamů ze všech koutů sítě.
Bez ohledu na to, jak pokročilé řešení bude zvoleno, je základem prvotní pořízení záznamů událostí.
Scénář třetí:
Auditujeme činnost systému a aplikací
Operační systém Windows, stejně jako všechny ostatní rozšířené platformy, podporuje základní princip záznamu činnosti své i aplikací v něm spuštěných. V zásadě je tato činnost rozdělena na několik úrovní a vyhovuje tak koncepci, kterou jsme výše označili jako pořizování surových záznamů. Jako samotný audit je pak označována nadstavbová úroveň sledování činnosti systému - její části je možné (a na některých verzích Windows vysloveně nutné) zapnout a rozhodnout tak, co bude předmětem sledování. Základní, automatická úroveň je pak spuštěna bez možnosti volby, avšak pořizuje jen výchozí sadu záznamů (log "system") spíše provozního charakteru, jež jsou specificky zaměřeny na zabezpečení.
Víceméně jednotný systém záznamu činnosti byl zaveden s řadou NT, u stanic pak důkladně od verze Windows 2000, kde zůstal přes Windows XP v podstatě nezměněn. Významnější novinky přinesla po delší době až verze klientského systému Windows Vista, na duhou stranu dosluhující systémy Windows 95/98/Me žádnou funkcionalitu tohoto druhu neměly.
Na rozdíl od platforem UNIX či Linux trpí Windows výrazným neduhem - nedisponují do značné míry univerzální metodou ukládání logů do centrálního "skladiště", jakou je třeba systém SYSLOG. Centrální zpracování je pak ve světě Windows založeno na aktivním získávání záznamů ze serverů a cílových stanic, neboť samotný systém, jenž záznamy generuje, je vlastně neumí přirozenou cestou nikam odeslat. A zmiňme ještě jeden významný rys platformy Windows - v základní podobě vlastně neobsahuje žádné pokročilejší nástroje pro hromadné zpracování či analýzu záznamů, nepočítáme-li v to prosté prohlížení.
Základní úskalí a možnosti Windows
Každý systém Windows, zhruba od verze 2000 dále, je schopen pořizovat tři skupiny záznamů událostí. Log aplikační shromažďuje zprávy o běžících programů a jeho obsah závisí čistě na vůli operačního systému či podobě aplikace samotné, takže možnosti konfigurace administrátorem jsou minimální. Do logu systémového jsou ukládány zprávy podsystémů Windows a slouží především ke kontrole provozu, i zde je minimální možnost konfigurace. Třetím je pak pro náš účel log nejdůležitější, a to bezpečnostní (security). Jeho obsah je vlastně plně v rukou správce, neboť ten nastavuje audit Windows, čímž zapíná jednotlivé kategorie sledování, jež pak produkují odpovídající typy událostí. Tyto kategorie jsou označovány jako politiky auditu a před příchodem Windows Vista trpěly nedostatkem v podobě dosti hrubého rozdělení - právě Vista přinesla zcela novou možnost zapnout sledování jemněji rozdělených kategorií a tím ho zefektivnit.
Problémem zůstává sledování bezpečnostních aspektů aplikací, neboť bezpečnostní log shromažďuje systémově orientované události (přihlašování, přístup k souborovým zdrojům, změnu práv apod.) a vazba na činnost jednotlivých aplikací pak musí být sledována dodatečnou analýzou, ať již v jakékoliv podobě.
Dlouhodobě citlivým problémem byl také formát ukládání zaznamenaných událostí, neboť logy je možné exportovat v omezeném množství formátů. Windows Vista přináší vylepšení díky zapracování poměrně univerzální struktury na bázi XML.
SODATSW - OptimAccess Solution
Pojďme se podívat na řešení auditu činnosti operačního systému a aplikací z jiné strany. Dobrou ukázkou mírně odlišné koncepce bude systém OptimAccess společnosti SODATSW, jehož sledovací možnosti jsou od počátku orientovány na zabezpečení. Tomu odpovídá též základní rozvržení a ovládání komponenty OptimAccess WorkSpy, jež slouží ke kýženému účelu. Základní, surové sledování řady systémových parametrů je zde překryto "aplikovanou" vrstvou, takže se v grafickém rozhraní nacházejí pohromadě takové kolekce záznamů, jež spolu souvisejí podle logiky zabezpečení a sledování potenciálně nežádoucích aktivit.
Mezi základními prvky auditu činnosti pracovní stanice tak najdeme záznam spouštění a vypínání samotného systému spolu se záznamy spouštění aplikací a dále s interaktivním přihlašováním uživatelů. Druhou logicky uspořádanou skupinou je sledování "internetové" aktivity, jež může velmi dobře indikovat pokusy o zcizení dat: pohromadě zde nalezneme přístupy k internetovým stránkám spolu s vytížením síťové karty, sledováním příloh elektronické pošty a monitorováním stahovaných souborů z internetu.
Další skupinou je audit přístupu na souborový systém - najdeme jej i přímo ve Windows, avšak i zde je vidět odlišná koncepce. Optim-
Access dovoluje sestavit kolekce pravidel pro sledování různých typů souborů v kombinaci s různými operacemi přístupu (čtení, mazání, zápis), navíc dovoluje do podmínky zahrnout procesy systému, jichž se bude sledování týkat. Zdánlivá drobnost - schopnost spustit varování - nás posunuje oproti pasivnímu logu Windows o krok vpřed.
I v další kolekci záznamů činnosti je patrný odlišný přístup - v části Operační systém se nabízí sledování přístupu do Ovládacích panelů, citlivé úpravy konfigurační databáze Registry či připojování a odpojování externích úložných a síťových zařízení. Zdánlivou maličkostí je zde audit tisknutých souborů - kdo se někdy pokusil toto sledovat čistě prostředky Windows, jistě novou vymoženost docení.
V přímé návaznosti na možnosti sledování jsou zapracována též rozhraní pro vyhodnocování auditu. K dispozici je jak interaktivní prohlížeč, shromažďující události podle výše popsané logiky v jednotlivých kategoriích, tak propracovaný modul pro tvorbu výstupních tiskových sestav. Obzvláště při podrobnějším sledování přístupu na internet mohou být tyto prostředky cenným pomocníkem. Navíc je možné údaje exportovat pomocí připraveného nástroje do SQL databáze. Výsledky jsou pak snadno dostupné každému pomocí připravené webové aplikace OptimAccess Report Center. Navíc lze nad databází provádět libovolné dotazy, každý si tak může připravit sadu dotazů a výsledků přesně na míru pro své potřeby a využití.
Popsaná součást OptimAccess WorkSpy představuje - jako jedna z částí systému OptimAccess - velmi dobrou ukázku bezpečnostně orientovaného přístupu k auditu práce systému Windows. Přínosem je především uspořádání auditovacích politik a možnost bezprostředního využití bez nutnosti připravovat dodatečné prostředky na zpracování surových záznamů událostí.
Na co se těšit příště?
Od aktivní snahy zabránit uživatelům ve zcizení dat pomocí kladení překážek jsme se dostali ke sledování činnosti uživatelů i operačního systému a k základům pořizování auditu. V příštím zastavení si povíme o tom, že pod pojmem audit si lze představit i v principu odlišná řešení: předmětem pořizování záznamů nemusí být jen "běžící" součásti, ale i konfigurace strojů samotných.
Středobodem záznamu činnosti Windows jsou soubory logů. Jejich množství je dáno konfigurací systému, záznam zabezpečení Security log je však přítomen vždy.
Mechanismem sledování aktivit ve Windows je skupina politik (zásad) auditu. Lze je zapínat selektivně, navíc se tato škála výrazně zlepšila s příchodem systému Windows Vista.
Databáze Registry patří k nejdůležitějším, mimořádně přínosné v této části auditu je sledování tisku dokumentů.Sledování síťové aktivity patří s ohledem na ochranu firemních dat k cenným záznamům auditu. Jak přílohy e-mailů, tak intenzita provozu síťové karty mohou mnohé napovědět.
Úhrnná kontrola spouštění aplikačního softwaru a přihlašování či odhlašování uživatelů je přímo ve Windows mnohem hůře dostupná.
Cenným prvkem auditu souborového systému je možnost stopování aplikace (prostřednictvím jména procesu), jež k datům přistupovala.