Pažljivo planiranje i kreiranje bezbednosnih polisa su od esencijalne važnosti za sigurnost IT infrastrukture. Ipak, uvek treba očekivati neočekivano kada se upare korisnici i računari, a beleženje njihovih aktivnosti pomoći će vam da odgovorite na te nepredviđene okolnosti.

dancing-pigs

U prethodnim člancima iz serije o četiri „A“ pisali smo o verifikovanju korisnika uz pomoć autentifikacije, a potom i o primeni autorizacije i kontrole pristupa kroz bezbednosne polise. U ovom članku ćemo obraditi poslednje „A“, tj. praćenje aktivnosti (Audit logging) korisnika u cilju boljeg definisanja sigurnosnih propusta, rešavanja problema sa performansama i pronalaženja potencijalnih grešaka u samom softveru.

Šta je praćenje aktivnosti (Audit logging)?

Ukoliko ste se ikada bavili IT administracijom, sigurno vam je poznato u kojoj meri korisnici umeju da budu kreativni u svojim brljotinama, prosto da ne očekujete takav razvoj događaja. Ukoliko niste u toku sa vašom mrežom i ne nadgledate tekuće aktivnosti, budite sigurni da ćete se pre ili kasnije naći u velikom problemu. Naravno, ovo nije obavezan scenario – praćenjem aktivnosti kroz logove možete otkriti anomalije i definisati uzrok i pre nego što se problem desi.

Praćenje aktivnosti beleži započete i kompletirane aktivnosti. Ovi zapisi sadrže vreme, lokaciju i identitet korisnika koji stoji iza aktivnosti (pogađate naravno, identitet obezbeđuje autentifikacija). Beleženje korisničkih aktivnosti može da unapredi bezbednost mreže na više načina – da pomogne u rekonstrukciji sleda događaja, da evidentira neželjene upade, da pomogne u analizi uzroka loših performasi ili neočekivanog ponašanja sistema. Takođe, saznanje da se sve aktivnosti beleže i prate deluje veoma afirmativno na korisnike koji klikću gde stignu.

Evidentiranje različitih vrsta aktivnosti omogućava granularnost koja može biti od velike pomoći.

Zapisi mogu biti kreirani na nivou operativnog sistema, aplikacije i servisa. Evidentiranje različitih vrsta aktivnosti omogućava granularnost koja može biti od velike pomoći kada rešavate probleme određenog tipa, npr. zloupotrebu mail saobraćaja ili Internet pregledača.

Da bi sakupljeni zapisi bili od koristi, moraju se periodično nadgledati. Ukoliko se nagomilavaju bez nadzora, bespotrebno će vam zauzimati prostor na disku. Da biste pojednostavili proces pregledanja, možete podesiti notifikacije koji će vas obaveštavati o određenim događajima po unapred definisanim okidačima. Notifikacije se uglavnom podešavaju ručno, sem ukoliko ne angažujete parsing skripte ili aplikacije dizajnirane za tu namenu.

Nacionalni institut za standarde i tehnologiju (The National Institute of Standards and Technology) objavio je odličan dokument koji detaljno objašnjava kako i zašto treba da se koristi praćenje aktivnosti, a sadrži i primere koje možete iskoristiti u realnom okruženju:

“Analiza prirode događaja se uglavnom deli na greške operatera (gde je sistem odradio sve instrukcije bez greške) i sistemske greške (npr. slabo testiran, zamenski izvršni kôd). Ukoliko, primera radi, otkaže određena funkcionalnost sistema i integritet fajla postane upitan, analiza može utvrditi sled povezanih aktivnosti sistema, korisnika i aplikacija koji je taj događaj uzrokovao.“

„Poznavanje okolnosti pod kojima je, recimo, došlo do otkazivanja sistema, može biti korisno u izbegavanju sličnih ispada u budućnosti. Dodatno, ukoliko se tehnički problem pojavi (npr. oštećenje baze), analizom možemo utvrditi tačno vreme eskalacije i vratiti odgovarajući backup.“

Kada se implementira promišljeno i pažljivo, praćenje aktivnosti može biti efikasan alat za proveru stanja mreže, bezbednosnih polisa i ukupne interakcije korisnika. Koristeći sva četiri „A“ bićete u mogućnosti da bolje sagledate i razumete dešavanja u vašem okruženju kako bi ga učinili bezbednijim.

www.welivesecurity.com

Korisni linkovi:

Security Auditing Overview

Scenario: File Access Auditing

OMS Integration and Auditing with Windows Server 2016