Naplóelemzés: nem csak szükséges rossz
A rendszernaplók elemzése nem csak jól felfogott érdeke a cégeknek, a pénzügyi szektorban vagy a távközlési szolgáltatóknál már kötelező feladat. Ezt rendszeres auditokkal ellenőrzik az felügyeleti szervek, hogy bizonyosságot szerezzenek róla, a szervezet a törvényeket betartva működik és az adatok biztonsága garantált.
Miért kell logelemzés?
Logelemzést nem csak az auditorok kedvéért érdemes végezni, hanem azért is, mert ennek segítségével a szervezet átfogó képet kaphat az informatikai rendszer működéséről, akár műszaki, akár pénzügyi aspektusból. Az olyan kérdésekre, hogy "mennyire vannak kihasználva a rendszerek?" vagy hogy "milyen bővítésekre lesz szükség ha nő a felhasználók száma?", a naplófájlok elemzésével megfelelő válaszok adhatók. A logelemzés az üzemeltetést is segítheti, nem csak utólag, a hiba bekövetkezte után lehet a segítségével következtetni az okokra, a naplókból kinyerhető információk alapján előre is jelezhetők és elkerülhetők a rendszerleállások.
Egyelőre a biztonsági szempontok játsszák a legfőbb szerepet a logelemzésben. A legtöbb támadás a meglevő rendszerek jobb használatával kivédhető - derül ki KPMG által végzett felmérésből, amely több mint 300 európai és amerikai nagyvállalat és kormányzati szervezet bevonásával készült. Egy, a SANS Institute által végzett elemzés szerint a vállalatok több mint 70 százaléka a gyanús események kiszűrésére, kétharmaduk utólagos nyomelemzésre (forensic), összefüggések vizsgálatára használja a logokat, közel 50 százalék pedig a biztonsági eszközök folyamatos finomhangolására. Emellett bizonyos szektorokban (pl. pénzügy, egészségügy, távközlés) a törvényi megfelelőség bizonyítása szempontjából is nélkülözhetetlenek a naplófájlok.
"A hazai szabályozás leginkább a pénzintézetekre vonatkozik, nekik minden esetben tudni kell rekonstruálni egy biztonsági esemény minden mozzanatát, ezt betartatja a PSZÁF" - mondta Gaidosch Tamás, a KPMG információkockázat-menedzsment tanácsadás vezetője. "A többi iparágban egyelőre még nincs ilyen törvényi szabályozás. Magyarországon a nemzetközinél még egy kicsit enyhébbek a büntetések, de volt már arra példa, hogy egy biztosítótársaság tevékenységét felfüggesztették informatikai rendszerproblémák miatt."
Magyarországon a pénzintézetekre és biztosítókra az 1996. évi CXII. törvény vonatkozik, ennek 13/b. paragrafusa rendelkezik az informatikai rendszer védelméről. Ennek betartását a PSZÁF rendszeres auditokkal ellenőrzi, amelynek során leginkább a COBIT ajánlásait figyelembe véve járnak el. A törvény szerint a pénzügyi intézményeknek kötelező gondoskodniuk "a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események)", valamint "olyan biztonsági környezetről, amely az informatikai rendszer működése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres (esetleg önműködő) és érdemi értékelésére, illetve lehetőséget nyújt a nem rendszeres események kezelésére".
Hogy fogjunk hozzá?
Az infrastruktúra elemei, az operációs rendszerek, a köztesréteg és az alkalmazások naplói, illetve a tranzakciós logok valódi információs kincsesbánya a biztonságos és folyamatos üzemeltetés szempontjából, azonban a legtöbb cégnél komoly gondot okoz ezen információk hasznosítása, hiszen számos forrásból érkezhetnek és sokszor a formátumuk is eltérő, ami megnehezíti az egységes kezelésüket, a keresést, elemzést. A SANS Institute adatai szerint a vállalatok több mint harmada 10-100, további 22 százaléka pedig 100-500 logforrással rendelkezik. A megkérdezett cégek a logmenedzsment legfontosabb problémájaként a naplókban tárolt információk hasznosítását jelölték meg, emellett a legtöbb gondot az adatok normalizálása, a keresés, valamint a naplófájlokból jelentések előállítása jelentik.
Naplóelemzésre számtalan különféle rendszer és módszer áll rendelkezésre. A KPMG tanácsadója, Gaidosch Tamás szerint érdemes egy projektet "kicsiben elkezdeni", elsőként csak a rendszerek legalsó rétegeire (pl. hálózati infrastruktúra, operációs rendszerek) koncentrálva. Az infrastruktúra elemei és a különféle operációs rendszerek sokszor ugyanazt a syslog protokollt használják a naplózásra, ezek gyűjtésére és feldolgozására már ingyenes vagy viszonylag olcsó eszközök is rendelkezésre állnak. A helyzet a magasabb szintű rétegek felé haladva válik bonyolulttá, mivel a köztesszoftverek és az alkalmazások által generált naplók formátuma nagyon sokféle lehet, és néha egyedi fejlesztést is igényel ezek begyűjtése és tárolása. Gaidosch szerint "elegáns" megoldás lehet a middleware-en keresztül gyűjteni a logokat, mivel ez az összes réteggel összeköttetésben van, "mindenről tud", ami a rendszerben történik.
A logelemzési megoldások bevezetése persze számos buktatót rejthet. Ezek közül a legfontosabb, hogy megfelelően kell kiválasztani a logforrásokat, vagyis hogy milyen eszközök vagy szoftverek naplóállományaira van szükség, illetve hogy milyen eseményeket szeretnénk naplózni. A túl nagy finomságú naplózás irreálisan sok adatot eredményez, a nagyon durva megközelítéssel viszont azt kockáztatja a szervezet, hogy lényeges események maradnak naplózatlanul. A helyes egyensúly megtalálása nem egyszerű feladat, akár hónapokba vagy évekbe is beletelhet, mire egy szervezetnél kialakul a naplókezeléshez a megfelelő rutin. A jó naplófájlok azonban nélkülözhetetlen segítséget jelentenek a biztonságos üzemeltetéshez, ha egy szervezet megfelelően rövid határidőn belül tud reagálni a változásokra.
Sentinel Log Manager
Számos gyártó kínál eszközöket a logok kezelésére, köztük a Novell is, amely tegnap mutatta be Magyarországon a Sentinel Log Managert. A termék a régóta létező Sentinel valós idejű biztonsági eseménykezelési megoldáson alapul, azonban kimondottan a naplófájlok tárolására, archiválására, keresésére fejlesztették ki. A Sentinel Log Manager automatikusan felderíti a hálózaton a syslog protokollt használó eszközöket, a más protokollt használóakhoz pedig egyedi csatolókkal rendelkezik, így számos különféle logforrást képes kezelni, az adatokat gyűjteni, egységesen tárolni, indexelni és ezáltal kereshetővé tenni.
Hargitai Zsolt, a Novell kereskedelemtámogatási vezetője szerint a Sentinel Log Manager előnye a vetélytárs megoldásokkal szemben, hogy nem saját, egyedi tárolót használ és nyílt fájlformátumot alkalmaz, így nem köti magához a felhasználókat. A szoftver nagyjából 10:1 tömörítést alkalmaz a logok tárolásakor, hogy az igényelt tárterület ne legyen túl nagy a NAS-on vagy SAN-on, a naplók sértetlenségét titkosítás és adatpecsét is garantálja. A termék a tárolt logokból egyszerűen képes jelentéseket készíteni, ezeket a webes grafikus kezelőfelületen egyetlen kattintással lehet kérni.
A Sentinel Log Manager integrálható a valós idejű biztonsági eseménykezelést végző Sentinellel. Utóbbi egy olyan intelligens korrelációmotort tartalmaz, amely képes kiszűrni a naplókból a valóban releváns, gyanús, mélyebb vizsgálatra érdemes eseményeket. Ha egy felhasználó elgépeli a jelszavát, majd a meghiúsult belépés után néhány másodperccel később ezt korrigálja és sikeresen belép, az még nem biztonsági esemény. Ugyanakkor ha valaki egy gépen gyors egymásutánban több felhasználói névvel és jelszóval próbál meg belépni, az már gyanús. A Sentinel képes felismerni az ilyen eseményeket és megtenni a szükséges lépéseket.
A Sentinel Log Manager kétféle kiépítésben érhető el. Az olcsóbb változat másodpercenként 2500 naplóeseményt képes feldolgozni, ennek listaára 40 ezer euró körül alakul, a másodpercenként 7500 eseményt kezelő verzió 60 ezer euró körüli áron kapható. Ez természetesen listaár, amelyből a jelen gazdasági helyzben komoly kedvezményt is kialkudhat a vevő, viszont nem tartalmazza a Sentinel Log Manager működéséhez szükséges hardverek, valamint a bevezetés árát, ami jóval meghaladhatja a szoftver árát.