В последнее время финансовые скандалы, кражи и мошенничество с персональными, частными и клиентскими данными привели к принятию новых законов и отраслевых инструкций. Они требуют от предприятий защиты конфиденциальных данных и доступа к информации и приложениям. Постоянно усложняющиеся своды правил, главным из которых является утвержденный в 2002 г. американским конгрессом закон Сарбейнса-Оксли (SOX), заставляют заботиться о тщательном и надежном хранении не только информации о сотрудниках, но и о клиентах, партнерах и заказчиках. Однако это далеко не единственный законодательный барьер, который приходится преодолевать предприятиям. Многие американские компании вынуждены соблюдать и «Закон о патриотизме» от 2001 г., постановления о биржевом надзоре SEC 17a-3 и 17a-4 и закон о преемственности и подотчетности в области страхования здоровья (Health Insurance Portability and Accountability Act, HIPAA).

В Европе SOX тоже является лишь одной из проблем: в частности, многие европейские предприятия, акции которых котируются на бирже, еще в 2005 г. ввели систему отчетности на базе международного стандарта финансовой отчетности (International Financial Reporting Standards, IFRS). Банки должны соблюдать новые требования по выдаче кредитов в соответствии с Basel II, в то же время, как ожидается, уже в 2010 г. начнут действовать новые нормы управления рисками в области страхования Solvency II. Эти правовые документы вынуждают предприятия инвестировать в обеспечение надлежащих мер безопасности, чтобы избежать штрафов и доказать клиентам свою надежность.

В результате появился рынок программного обеспечения, которому аналитическая компания IDC дала обобщающее название —
«соответствие и управление безопасностью» (Security Compliance and Control, SCC). SCC включает связанные с соблюдением правовых норм продукты в следующих областях: управление контентом, управление идентификацией и доступом, управление безопасностью и уязвимостями, а также службы контроля за соблюдением директив обеспечения безопасности. Таким образом, решения SCC играют ключевую роль в вопросах соблюдения правовых норм и обеспечения безопасности, что, по мнению IDC, будет приобретать все большее значение в стратегиях управления предприятиями и рисками.

БЕЗОПАСНОСТЬ, ЗАКОННОСТЬ И ЖУРНАЛЬНЫЕ ФАЙЛЫ

Появление предписаний обеспечения безопасности и законодательных норм привело к тому, что компаниям приходится хранить, архивировать и защищать информацию, связанную с безопасностью, в течение длительного времени. Таким образом, накапливаемые в системных журналах данные становятся критически важными для предприятий и требуют особого обращения. Поэтому сбор и консолидация системных журналов должны фиксироваться в директивах (правилах) предприятия и расцениваться так же, как сбор и защита основных (постоянных) и текущих (меняющихся) данных. При этом системы управления журналами призваны осуществлять отбор тех из них, которые необходимо хранить.

На крупных предприятиях со сложной структурой число системных журналов столь велико, что их уже невозможно проанализировать вручную. Один только брандмауэр муниципалитета г. Мюнхена ежедневно генерирует системные журналы объемом более 100 Мбайт. Почти все технологии порождают системные журналы: операционные системы, серверы Web, приложения, маршрутизаторы или коммутаторы сохраняют информацию о событиях. Основная проблема заключается в принятии решения о том, какие системные журналы следует сохранять для дальнейшего анализа, а какие — нет. Их создание и хранение могут осложнять различные факторы: не только большое количество системных журналов, но и несогласованность их содержимого, разные форматы и несовпадение отметок о времени различных источников (см. Рисунок 1). Управление системными журналами включает, кроме прочего, защиту конфиденциальности, целостности и готовности.

Рисунок 1. Сбор информации о событиях и опрос системных журналов с каждым днем усложняется.

Успех управления системными журналами зависит от развития стандартизированных процессов. Уже на этапе планирования предприятие должно определиться с задачами. На их основе следует разработать принципы, в соответствии с которыми будут приняты обязательные нормы и требования, предъявляемые к деятельности по управлению системными журналами. К ним относятся создание, передача, хранение, анализ и удаление системных журналов. Необходимо учитывать уже разработанные принципы и методы, а также нормы и требования. Кроме того, руководство предприятия должно стимулировать применение систем управления журналами.

Очень важным моментом является сохранение оригиналов. Нередко копии журналов с данными о событиях в сети отправляются на центральные дисковые массивы, а для анализа и интерпретации сетевого трафика используются специальные инструменты. Если системные журналы предполагается предъявлять в суде в качестве доказательства, то для обоснования достоверности копий и интерпретаций понадобятся именно оригиналы (см. Рисунок 2). Хранение такого рода системных журналов следует организовать с должной надежностью, чтобы исключить манипуляции, к примеру, со стороны системного администратора.

Рисунок 2. Обеспечение юридической силы доказательств является важной задачей при сборе  и консолидации системных журналов.

К типичным основным задачам управления системными журналами относятся конфигурирование источников журналов, их анализ, составление сообщений для обратной связи, подготовка юридического аудита и долгосрочное хранение. Кроме того, администраторы отвечают за мониторинг статуса всех журналов, архивирование, проверку обновлений, применение заплат к программному обеспечению для создания журналов, синхронизацию часов на инициаторе системных журналов с единым источником, проверку на наличие аномалий в настройках и контроль за процессами и конфигурациями.

Еще один важный пункт — ротация системных журналов. Под этим термином подразумевается периодическое сохранение журналов, в процессе которого все системные события ежедневно копируются, а затем удаляются, то есть цикл начинается заново. Таким образом, администратор сможет быстрее находить необходимые журналы и «сжимать» старые. Обычно ротация быстро увеличивающихся в объеме журналов производится один раз в день, а медленно растущих — еженедельно или даже ежемесячно.

АВТОМАТИЗИРОВАННОЕ УПРАВЛЕНИЕ ЖУРНАЛАМИ

Сбор и консолидация системных журналов требует специальных программ для резервного копирования или иерархических приложений хранения. Эти системы призваны хранить и архивировать данные и выполняют свои задачи с определенной периодичностью — еженедельно или ежедневно. Лишь в редких случаях события записываются через заданные несколько часов или минут. Эта форма резервного копирования не позволяет проводить анализ, а если и позволяет, то со значительными затратами. Поэтому необходимо автоматизировать сбор и консолидацию системных журналов. Таким образом отдел ИТ может не только сэкономить время, но и свести к минимуму риск потерь. Это можно осуществить при помощи подходящего программного обеспечения, к примеру, Security Manager от NetIQ.

Приложения собирают, консолидируют и архивируют данные, связанные с безопасностью и соблюдением правовых норм, а затем анализируют их. Так называемые программные агенты — небольшие программы, которые могут быть инсталлированы на любой источник системного журнала, — накапливаются записи в одном месте, благодаря чему создается общая картина всех событий. Агенты могут отправлять предупреждения на центральный компьютер, а в дополнение к своей базовой деятельности обеспечивают передачу событий, гарантируя, с одной стороны, саму передачу, а с другой — ее безопасность, то есть не позволяют манипулировать данными. Кроме того, они сжимают данные о событиях таким образом, чтобы центральное хранилище не переполнилось, и позволяют реализовать защиту и реагирование в реальном времени, как того требует процесс.

Однако в некоторых сценариях размещение агентов невозможно или нежелательно. В частности, иногда в случае серверов и контроллеров центральный компьютер консолидирует события при помощи общего протокола, к примеру, Syslog или SNMP, либо специального программного интерфейса приложения для этого накопителя. Мониторинг накопителей без инсталлированных агентов охватывает маршрутизаторы, коммутаторы, брандмауэры, сетевые приложения, серверы Windows, а также системы обнаружения и предотвращения вторжений (Intrusion Detection System/ Intrusion Prevention System, IDS/IPS).

Однако при консолидации данных возникает еще одна существенная проблема: каждое конечное устройство, ведущее системные журналы, форматирует свои записи по-разному — в зависимости от технологии и производителя. Как следствие, если все записи для всех применяемых технологий хранятся в центральном компьютере надежно и в сжатом виде, это вовсе не означает, что их можно сравнивать между собой. Необходимо найти единый общий «язык», чтобы системные журналы можно было прочитать, сопоставить и осмысленно проанализировать. Одним из наиболее распространенных единых форматов является формат обмена сообщениями об обнаружении вторжений (Intrusion Detection Message Exchange Format, IDMEF), предложенный IETF.

Системные журналы содержат такие важные данные, как имена пользователей, пароли или финансовые данные. Эти сведения должны быть защищены и недоступны для третьих лиц. Поскольку при проверке состояния информационных технологий без журналов не обойтись, предприятия обязаны обеспечить их целостность. Для надежной передачи и хранения данных из системных журналов гетерогенных систем или при использовании лучших в своем классе систем необходимо соблюдать три условия:

  • доказательство того, что действие выполнено, и информация о том, кем оно было выполнено;
  • документы, подтверждающие достоверность и однозначность объекта;
  • гарантия того, что транзакции и события можно отследить впоследствии.

Все данные должны передаваться по зашифрованному каналу. После передачи данных они преобразуются в единый формат и затем сохраняются в центральном хранилище (в идеальном случае), доступ к которому необходимо ограничить. Этот процесс позволяет гарантировать признание события и системных журналов в суде. Регулярный анализ событий, связанных с безопасностью, является основой для оценки источников опасностей и действий, предпринимаемых для предотвращения инцидентов, и способствует повышению эффективности анализа системных журналов и распознаванию брешей в системе безопасности. Изучение тенденций помогает определить эффективность системы обеспечения безопасности и выработать меры по ее улучшению. Если администратор ИТ установит, что объем предупреждений от системы обнаружения вторжений за последние полгода возрос, это может послужить основанием для проверки надежности брандмауэра.

В целом различают три разных типа отчетов. В обобщающих, стандартных отчетах суммируются данные из журналов. Они предлагают множество различных срезов событий, связанных с безопасностью — начиная со всего предприятия и заканчивая отдельными серверами.

Весьма полезной оказывается сводка всех записей системных журналов, в которых система IDS за последние 24 ч зарегистрировала (посредством сканирования портов) и задокументировала неудачные попытки доступа, а также всех событий во всех системах за последние 30 суток, которые показывают, что доступ к системе пытались получить аннулированные пользователи. Кроме того, весьма желательно сравнить все события IDS, связанные с троянскими программами, со всеми остальными событиями для оценки слабых мест, когда имеется подозрение на внедрение троянца: так удается выяснить, воспользовалась ли троянская программа этим слабым местом. Кроме того, можно отобразить события за последние две недели, когда удаление журнала производилось в нерабочее время пользователем с одним и тем же идентификатором.

Вторым типом отчетов является уже упомянутый отчет об анализе тенденций. Тенденция определяется путем сравнения различных событий за указанный промежуток времени. Благодаря сбору данных или их оперативному изучению (Online Analytical Processing, OLAP) анализ тенденций оказывается весьма эффективным методом исследования данных о событиях.

Третья возможность — составление отчетов в соответствии с законодательными требованиями. Речь идет не о глубоком понимании происходящего, а о том, что подобный отчет должен быть признан в суде в качестве доказательства. Судебный отчет, который базируется на анализе системных журналов, должен давать ответы на следующие вопросы: Что произошло? Когда? Где? В чем причина? Кто к этому причастен?

ЗАКЛЮЧЕНИЕ

Со сложной проблемой ведения системных журналов можно справиться при помощи современного программного обеспечения, но предприятиям важно разобраться в том, какие предписание относятся к защите их данных. Однако необозримый поток записей из журналов заставляет сделать необходимый выбор для соблюдения законодательных требований и обеспечения безопасности. Сбор всех системных журналов при отсутствии возможностей проведения анализа имеет так же мало смысла, как и отказ от такого сбора. Управление системными журналами приносит большую пользу, когда речь идет о достижении целей предприятия.

Ульрих Вайгель — ведущий архитектор стратегии безопасности в компании Netiq (подразделении Attachmate) в регионе ЕМЕА.


© AWi Verlag