Доклады, выступления, видео и электронные публикации

Неперезаписываемый журнал событий: лайфхак для аудитора

Одним из важнейших направлений обеспечения системы менеджмента информационной безопасности организации является её аудит. А значит, должны обеспечиваться сбор и хранение в течение определённого периода времени журналов, в которых регистрируются действия пользователей, нештатные ситуации и события ИБ.

Мы бы никогда не задумались о том, каким должен быть «правильный» журнал, ограничиваясь стандартным выполнением требований к регистрации событий в своих продуктах. Однако решение пришло в ходе обсуждения на одном из семинаров с администраторами безопасности информации наших защищенных флешек Секрет.

Оказывается, флешка с управляемым доступом, различающая не только людей, но и компьютеры — это как раз то, что нужно, чтобы упростить жизнь в части организационных мер по работе с журналами и в то же время не снизить, а наоборот повысить их защищенность, а значит, и доказательность.

Журналы нужны для того, чтобы «если что» восстановить, как было дело.

Для того чтобы это предназначение реализовывалось без оговорок, журнал должен:

  1. Быть доступным для изучения в случае необходимости,
  2. Быть недоступным для изменения для кого-угодно с какими-угодно целями.

Что может быть не так, за счет чего журналы могут оказаться недоступными для изучения или измененными?

Журналов много, и это файлы. Большого объема, в большом количестве. Они занимают очень много места, и память, отведенную под журналы — будь то память СВТ или память СЗИ — время от времени освобождают. Все без исключения. При этом журналы обычно архивируют, записывают на какой-то носитель и куда-то убирают. В какой-то шкаф. И там они, конечно, штабилируются. Это первая причина, по которой журнал может оказаться не доступен в нужный момент.

Вторая причина — это повреждение файла журнала. С этим сталкивались большинство администраторов систем и большинство служб технической поддержки. Файл журнала может быть поврежден и из-за ошибок того устройства или приложения, которое регистрирует событие, но чаще случается так, что он повредился при хранении.

Журнал может стать недоступным из-за того, что кто-то его специально повредил. А может оставаться доступным, но «улучшенным». И необязательно действовал злоумышленник. Возможно, администратор просто «убрал лишнее», чтобы не засоряло. Ну или, конечно, чтобы что-то скрыть. Так или иначе, если нет возможности доказать, что журнал не изменен, то использовать его при «разборе полетов», конечно, можно, но.

Не будем забывать, что журналы — это не просто файлы, это еще и разные файлы, не только создаваемые, но и читаемые (или иначе обрабатываемые) разными средствами, и выработать надо механизм для работы сразу со всеми.

Значит, логично перенести фокус с защиты файла на защиту его носителя.

Итак, нам потребуется носитель:

  • удобный в хранении,
  • совместимый со всеми или с большинством СВТ,
  • не требующий от пользователя специальных навыков,
  • способный обеспечить неизменность своего содержимого после того, как оно на него попало.

До сих пор этому набору требований в наибольшей степени соответствовал неперезаписываемый компакт-диск (CD-R). Однако, недостатки этого «инструмента» не стоит даже перечислять, они очевидны.

При этом жизнь подсказывает еще ряд функциональных требований. Важно различение СВТ — чтобы журналы из разных систем не путались, иначе неудобно.

Важна ролевая структура, отвечающая задачам организации — например, чтобы читать журналы мог только аудитор, а тот, кто настраивает носитель (администратор) и тот, кто записывает на него журналы (пользователь) — не могли. При этом аудитор не должен иметь возможности влиять на настройки или сам дописывать журналы. Или по логике организационно-штатной структуры предприятия он должен иметь возможность влиять на настройки, а может быть, наоборот, не должен даже их видеть. Все это может быть задумано в каждой организации весьма индивидуально, и идеальное средство ведения журнала событий должно не ставить эксплуатирующую организацию перед выбором из 2-3 стандартных ролей, а позволять создавать роли с теми комплектами прав и функций, которые нужны для реализации политики безопасности организации.

Получается USB-накопитель add only, то есть «только добавление», неперезаписываемый, чтобы данные нельзя было ни удалить, ни модифицировать умышленно или по ошибке, с управляемым доступом к памяти.

Все эти выкладки мы и положили в основу «Программно-аппаратного журнала» — неперезаписываемого хранилища на базе служебных носителей семейства «Секрет».

С тех компьютеров, которые в данном конкретном устройстве указаны как разрешенные, на ПАЖ копируются журналы событий из указанных при настройке источников (например, журналы Аккорда-АМДЗ, или журналы из такой-то папки). Если ПАЖ случайно или специально подключить к другому СВТ — флешка не примонтируется.

При этом у ПАЖ есть собственный независимый журнал событий, в который записываются все действия с ним, включая все (даже неуспешные) случаи подключений к различным СВТ, изменения настроек безопасности, ролей, списка разрешенных СТВ.

Роли пользователей ПАЖ создаются администратором путем формирования наборов прав на чтение целевых журналов или журналов ПАЖ, просмотра или изменения настроек безопасности, просмотра или изменения списка разрешенных компьютеров.

Средства аудита и мониторинга — в том числе и исключительно событий несанкционированного доступа — это, как правило, сложные аналитические системы. Они крайне важны. Однако на практике не менее важны простые инструменты, позволяющие значительно снизить сложность организационных мер, и освободить человековремя для более эффективного использования тех данных, что позволяют агрегировать сложные аналитические системы.

Автор: Конявская-Счастная (Конявская) С. В.

Дата публикации: 01.01.2018

Библиографическая ссылка: Конявская С. В. Неперезаписываемый журнал событий: лайфхак для аудитора // Information Security/Информационная безопасность. М., 2018. № 1 (март). С. 37.


Scientia potestas est
Кнопка связи