Kontinuerlig gjennomgang og analyse av hendelseslogger er viktig for å kunne oppdage sikkerhetsbrudd så tidlig som mulig, slik at skadevirkninger kan hindres eller begrenses.
Logger kan også brukes for å innhente informasjon om pågående aktivitet generert av angripere, som kan brukes ved hendelseshåndtering. Videre kan logger brukes etter at angripers aktivitet har opphørt, for å kartlegge skadevirkninger og sårbarheter.
Som vi skriver om her, bør slik informasjon benyttes for å lære av en hendelse og utbedre svakheter i virksomhetens sikkerhet.
Men for at dere skal lykkes med tidlig deteksjon av sikkerhetshendelser, må følgende 4 forutsetninger være på plass:
1. Teknologi
Systemkomponentene må logge sikkerhetsrelevante hendelser. Systemet må ha funksjonalitet for arkivering og sammenstilling (korrelering) av logger.
2. Kompetanse
Organisasjonen må ha kompetanse til å konfigurere logging og tune logghåndteringsverktøy på en hensiktsmessig måte.
3. Prosesser og rutiner
Bør etableres for gjennomgang av logger og håndtering av hendelser.
4. Ressurser
Organisasjonen må ha ressurser – både maskiner og mennesker – til å håndtere loggmengde og hendelser, og til å ivareta etablerte prosesser og rutiner.
Etabler klare rutiner for å ivareta personvernet
Logging av ansattes aktivitet i et system vil innebære utstrakt registrering av opplysninger på personidentifiserbart nivå – med andre ord kan logger inneholde sensitiv informasjon om den enkelte medarbeider.
Behovet for lagring av sensitiv informasjon må til enhver tid veies opp mot behovet for brukerens personvern. Derfor må dere ha et aktivt forhold til hva og hvor mye som skal logges, og til hvordan loggene skal arkiveres, beskyttes og slettes.
For å avhjelpe på personvernutfordringene ved logging, og for å tilfredsstilleregelverkets krav til slik registrering, anbefaler Nasjonal sikkerhetsmyndighet (NSM) at det etableres klare rutiner for logging i virksomheten. Blant annet bør dere fastsette hvor lenge dere skal oppbevare loggene..
Logger skal kun benyttes til å ivareta sikkerheten i IKT-systemer og bør lagres i lang nok tid til at man kan oppdage og kartlegge uønsket aktivitet og bevegelse i etterkant av en hendelse.
Hvilke logger er viktigst?
Definer hvilke logger som er viktige. Viktige logger kan være Windows Security Log, Windows System Events, endepunktsbeskyttelse, fil-aksess, Linux/Unix syslog, firewall/ACL, Network IDS, IAM, switch/router, DNS, directory service events, DHCP og logger fra tredjeparts applikasjoner.
Ta hensyn til følgende når dere skal vurdere systemer og komponenter det er viktigst å generere logger for:
- Hvor ligger virksomhetens mest sensitive data?
- Hvilke systemer er virksomheten avhengig av for å understøtte leveranser og forretningsprosesser?
- Hvilke brukere har størst privilegier i virksomheten?
- Gjennom hvilke nøkkelpunkt flyter data?
- Hvilke «gatewayer» finnes mellom interne og eksterne systemer?
Logging bør slås på i den konfigurasjonen som gir det beste datagrunnlaget for hendelseshåndtering. Generer logger for alle relevante systemer og komponenter, med hovedfokus på endepunkter og trafikk mellom sikkerhetssoner.
Beskytt loggingen mot manipulering
Sørg for at loggingen fungerer etter hensikt og beskyttes mot manipulering.
Tidssynkronisering mellom systemer som logger: Synkroniser logger mot minste to referansetidskilder, slik at aktiviteter er tilordnet et korrekt tidsstempel og kan leses av kronologisk, noe som er en forutsetning for riktig analyse.
Fungerende logginnstillinger og nok lagringsplass: Forsikre dere om at logginnstillinger fungerer, og at det som skal logges, blir logget. Sørg dessuten for at alle systemer som jevnlig lagrer logger, har tilstrekkelig lagringsplass, slik at data ikke går tapt som følge av liten plass.
Sikre loggintegritet: Arkiver og signer loggene digitalt med jevne mellomrom for å sikre loggintegritet. Dere må sikre at loggene blir arkivert på en måte somhindrer at de blir overskrevet eller ødelagt, slik at de er tilgjengeligenår de behøves..
Sentralisert logglagring: Samle logger i et sentralt lager, slik at de er tilgjengelig når det er behov for dem.
Normalisering av loggdata for enklere gjenbruk og analyse: Benytt et standardisert format for logger slik at de enkelt kan leses av tredjeparts logganalyseverktøy.
Sikring av tilgang til sentrale loggdata: Sørg for tilstrekkelig tilgangsstyring på logger og implementer funksjonalitet som oppdager forsøk på manipulering eller sletting av logger.
Korrelering av loggdata mellom kilder
Informasjon mottatt fra sensorer, nettverksutstyr og servere må korreleres for å skape en oversikt og forståelse for hvordan ulike hendelser henger sammen. Logger skal tolkes og behandles for å vurdere risiko og konsekvens ved de forskjellige hendelser.
Konklusjon
Logging skal være en integrert del av systemdriften, og systemet må produsere, samle inn, konsolidere og analysere nok data til at man får etablert et løpende situasjonsbilde.
Logging må gjennomføres på en måte som sikrer ansvarlighet, tilgjengelighet og integritet – slik at det som skal logges, blir logget, og at loggingen ikke er blitt stoppet, innholdet endret eller slettet.
Innsamling, bruk, tidsbegrensing for arkivering og sletting må være i henhold til Norges lover. Det skal ikke logges mer detaljert eller lagres lenger enn det som er nødvendig for formålet.