úterý 1. prosince 2015

Aby logy přestaly být noční můrou


Správcové sítě a bezpečnostní manažeři z nich mají respekt a nezbytně je potřebují. Manažeři a vedoucí pracovníci obvykle netuší, o co přesně jde a systém pro zpracování logů nepodpoří, dokud nezazní klíčové slovo shoda s regulacemi a zákonnými požadavky. Systémy na správu a vyhodnocování logů však neslouží jen k zaškrtnutí políčka Zákon o kybernetické bezpečnosti - splněno, ale přináší i pomoc při řešení provozních problémů.
Jsou totiž odbory a pracovníci, kteří zpracované a vhodně archivované logy ke své činnosti nezbytně potřebují, i když každý z trochu jiného důvodu.
Správci systémů – sítí, bezpečnostních prvků, serverů a aplikací potřebují logy prohledávat při analýze a řešení provozních problémů.
Bezpečnostní manažeři logy potřebují pro vyhodnocování bezpečnostních událostí. A nově, s účinností Zákona o kybernetické bezpečnosti, potřebují mít logy kdykoliv připravené pro předložení organizacím zabývajících se bezpečností CESNET CERST a CIRST nebo Policii ČR.

Společné potíže

Obě skupiny však narážejí na společné problémy. Logy jsou uložené na různých zařízeních, kam mají správci různě omezená přístupová práva, logy jsou v různých formátech, mají různou retenci, zařízení mají omezenou kapacitu a logy jsou k dispozici třeba jen pár dní zpět. Logy uložené na různých místech mohou být zpochybnitelné, modifikované nebo třeba také záměrně smazané. Smazání nebo modifikace logů je ostatně jedna z činností, které útočník vždy udělá při průniku do systému, aby zakryl svojí činnost.
RAW formát logu z firewallu

Centrální úložiště

Jediné řešení celé problematiky je vytvoření centrálního úložiště, kam všechna zařízení, servery, systémy, aplikace a databáze ukládají své logy. Jenže logy ze všech zdrojů přicházejí v různých formátech. Síťová a bezpečnostní zařízení obvykle posílají logy ve formátu Syslog. Jenže to není jednotný formát. RFC 5424 popisuje pouze transportní protokol. Logy z aplikací a operačních systémů jsou pak ve formátu „file-based log“ a ten také nemá žádný standard. První, co tedy musí centrální úložiště logů udělat, je normalizace logů. Přicházející logy jsou prohnány parsery, které z raw formátu logů rozdělí všechny informace do příslušných polí v databázi – destination IP, source port, time a další údaje. Tím se logy sjednotí a je možné s nimi dále pracovat. Parsování logů je činnost velmi náročná na výkon systému. Před parsovacím strojem musí být buffer, kam jsou ukládána data při příjmu. Síťová zařízení a systémy totiž v naprosté většině nemají implementovaný způsob ověření doručení logů. Logy jsou tak odesílány do „černé díry“ a zařízení se nijak nestarají, zda jsou doručeny. Centrální úložiště tedy musí mít dostatečný výkon na nepřetržitý příjem. Tím jsme u jednoho z nejdůležitějších parametrů – množství událostí za sekundu – EPS (events per second). Definovat, kolik událostí za sekundu mi všechna zařízení a systémy v síti vygenerují, je tak trochu jako věštění z křišťálové koule. Záleží na typech zařízení, množství přenesených dat, množství přihlášených uživatelů, jestli zařízení zrovna náhodou nečelí útoku a na ostatních parametrech. Pokud chcete opravdu efektivně sbírat logy z celé sítě, tak zapomeňte na úložiště s kapacitou stovek EPS. V běžných českých podmínkách potřebujete tisíce EPS. A pokud to zařízení nebude zvládat, je nutné jej jednoduše clusterovat a tím zvýšit výkon.
Centrální úložiště logů musí samozřejmě podporovat režim vysoké dostupnosti. Podpora je obvykle implementována přímo v databázovém stroji a řeší se prostým přidáváním dalšího stroje do skupiny.
V síti máte mnoho různých zařízení. Je nutno ověřit, zda jsou Vaše důležitá zařízení plně podporována. Ale pozor, podporována znamená, že parser opravdu rozluští všechny údaje   příchozího logu. Nikoliv jen základní, jako jsou čas a IP adresy, a vše ostatní uloží v  nezpracované podobě.  Bez vhodného zpracování budou data pro vyhodnocovací a reportovací subsystém využitelná jen ve velmi omezené míře.

Analytické a prezentační rozhraní

Víte, s jakými objemy dat budete pracovat? V našich podmínkách střední a větší počítačové sítě vygenerují hrubým odhadem 1,5 miliardy eventů za měsíc a na jejich uložení potřebujete nejméně 10 TB prostoru. To jsou opravdová BIGDATA. S těmito daty potřebujete pracovat – prohlížet, třídit, analyzovat, korelovat. Abyste při zadání dotazu do databáze nemuseli čekat hodiny nebo dny na odpověď, tak potřebujete, aby úložiště logů mělo opravdu výkonný databázový stroj.
Prezentační rozhraní úložiště logů je to, s čím pracujete – tady třídíte data, filtrujete, vytváříte dotazy. Nechcete si ale všechny dotazy vymýšlet sami. Potřebujete mít co nejvíce dotazů již připravených. Na několik kliknutí se potřebujete dostat k informacím.

Co Vás zajímá?

Správce sítí budou zajímat provozní data. Kolik dat mi přenesl který uživatel. Kdo se připojuje na VPN? Kdo se neúspěšně snaží přihlásit přes 802.1x do sítě? Jaká pravidla na firewallu nejvíce zasahují? Na jakých portech probíhá komunikace mezi zónami? Tyto informace musí systém poskytnout na pár klinutí, než abyste trávili čas sepisováním dotazů.
Bezpečnostní manažer využije funkce SIEM (Security Information and Event Management), které jsou nadstavbou centrálního úložiště logů. SIEM funkce jsou o tom mít správná data a položit na tato data správné dotazy. Data – eventy máte v centrálním úložišti, a tak můžete pokládat dotazy. Jak dlouho tráví uživatel prohlížením webu a zda stránky, na kterých tráví celou pracovní dobu, nejsou kategorizovány jako škodlivé. Nemám v síti neautorizované SMTP servery? Nejsou mé stanice nakažené červy a nekomunikují s bootnety? Kdo porušoval pravidla o komunikaci s P2P? Proč se uživatel hlásí do aplikace jiným jménem, než jakým je přihlášen na stanici? Která pravidla na firewallu nejsou využívána a tudíž jsou zbytečně otevřená? Sledování anomálií – proč mi tato stanice generuje tisíce spojení na neexistující IP? A mnoho dalších dotazů.
Centrální úložiště logů tedy musí především splňovat:
-          Standardizace formátu logů.
-          Výkon pro příjem tisíců událostí za sekundu.
-          Dostatečná kapacita pro uložení logů.
-          Výkonný databázový stroj pro vyhledávání v obrovských objemech dat v řádech desítek sekund až minut.
-          Připravené provozní a bezpečnostní pohledy na BIGDATA.

Centrální úložiště logů, nejlépe s funkcemi SIEM, má svoje nezpochybnitelné místo v počítačové síti. Využijí jej správci sítě pro řešení provozních problémů a bezpečnostní manažeři pro dohled nad bezpečnostní sítě a naplnění požadavků Zákona o kybernetické bezpečnosti. Teď už jen přesvědčit vedoucí manažery, aby na nákup uvolnili peníze.

Filip Weber




Žádné komentáře:

Okomentovat

Poznámka: Komentáře mohou přidávat pouze členové tohoto blogu.