מערכות אבטחת מידע בלי לוגים
אני בוחר לכתוב הפעם על נושא שמתעלמים ממנו לא מעט, בעיקר ככל שהארגון קטן יותר ופחות מודע לאבטחת המידע בארגון שלו, וגם אצל ארגונים אשר מנוהלים על ידי אנשי סיסטם בלבד , ללא כל התערבות של אנשי תקשורת ואבטחת מידע בתהליכים.
למי שלא יודע , פרט לחברת צ'קפוינט אשר השכילה לכלול בכל פתרון שלה - מערכת לוגים אשר מנוהלת בנפרד או על ידי ניהול מרכזי ( SmartCenter\Eventia ) שאר היצרנים אינם כוללים פתרונות שכאלו במוצר הFW עצמו , ודורשים אלמנט נפרד נוסף על מנת לנהל לוגים , לאגור לוגים ולנתח לוגים. לדוגמא : סיסקו , פורטינט , ג'וניפר , והרשימה ארוכה מאוד ...
למעשה , ארגונים אינם מודעים לחשיבות הלוגים בניתוח תקריות אבטחת מידע, מה המשמעות של הצלבה של נתונים בין תקריות IPS לתקריות AV לתקריות תקשורת וכן הלאה . וכאשר חברות אלו רוכשות את מוצרי האבטחה שלהן , הן אינן לוקחות בחשבון את המטרה העיקרית שלשמה רכשו את המערכות - למנוע חדירה , ויתרה מכך - ללמוד לאחר מעשה מחדירה שהתבצעה.
מה שקורה בעצם , הוא שחברות כמו סיסקו בחרו לבסס את הפתרון שלהן על חומרה. ככזה - ניתן להגיע לביצועים גבוהים פי כמה , ובעלות נמוכה יותר , והTRADEOFF הוא תמיד לוותר על דיסק קשיח לטובת FLASH מאחר וזמני התגובה אחרים בתכלית. אך מוצרים אלו שומרים בד"כ עד 100 רשומות LOG ( זיכרון נדיף ) ומנקות אותו במקרה של RESTART וכדומה , כך כמובן לא ניתן לעקוב אחר אירוע שקרה לפני X זמן.
אני ארחיב ואוסיף שאני מאמין גדול גם בניתור של סביבות הנתבים והמתגים , וזאת על מנת לקבל ערך מוסף של ניתוח אירועים ובעיות ברשת ( בד"כ מוצרי הלוגים תומכים בסטנדרטים כמו SNMP TRAPS וכמו SYSLOG ) . יש לציין שיש לא מעט פתרונות כאלו אשר אינם עולים כסף נוסף - כגון הגרסאות הפשוטות של KIWI SYSLOG וההשקעה החומרתית היא פחות או יותר מחשב מיושן ורשיון לWINDOWS.
בנוסף , על פי כלל הרגולציות ותקני אבטחת המידע, מערכות הלוגים צריכות להישמר כחומר סודי ביותר, על אמצעי מוגן אשר לעתים אפילו מוגדר Secure Site ולכן יש להתחשב בעניין ברצינות.
יש משפט מפורסם שאומר "עוד לא פיטרו אף איש תקשורת על כך שבחר לרכוש סיסקו" , אבל לפי דעתי , אם בכל זאת בחר לרכוש מוצר אבטחה של סיסקו ( כגון ASA או NAC Appliance וכדומה ) , בגלל סיבות כאלו או אחרות פרצו לרשת , ואותו איש תקשורת לא ידע להסביר למה - תהיה זו סיבה טובה עבורו לעדכן קורות חיים. מאחר ומערכת אבטחת מידע לפי כל תקן אפשרי , אמורה לאפשר אכסון לוגים וניתוחם לאחר תקרית.
אני לא מדבר על הטמעה של מערכות SIM\SOC למיניהן , אבל מערכות לוגים בסיסיות - כמו SYSLOG או כמו פתרונות חליפיים , eIQ , FortiAnalyzer , Juniper NSM נדרשים כMandatory כאשר מתכננים כל מערכת אבטחת מידע כלשהי אשר אינה מכילה אלמנט אגירת נתונים פנימי.
Labels: consulting, law, managment, solution
| Link 
