Управление логами

Управление логами является ключевым элементом для всех организаций, которые используют множество серверов, приложений и иных инструментов и программных средств, с целью понять, что произошло или что происходит в режиме реального времени. Кибератака может затронуть разные точки корпоративной сети, а злоумышленники оставляют следы своих действий.

Управление логами включает сбор информации с различных ключевых систем с последующей централизованной агрегацией на сервере логов. Данные логов хранятся, архивируются на долгосрочной основе и подвергаются ротации для последующего анализа. Анализ возможен путём корреляции различных данных с помощью инструментов агрегации и построения отчётов.

Конечной целью^[2] служит обеспечение безопасности информации, а также поддержка системных и сетевых операций (например, деятельности системного администратора и администратора сети) и обеспечение соответствия специфическим нормативным требованиям.

Эффективный анализ больших объёмов логов сопровождается рядом особенностей:

• Синхронизация: для точной корреляции информации необходимо строгое согласование времени между системами, чтобы определить хронологический порядок событий;
• Объём данных: в крупных организациях суточный объём логов может достигать сотен гигабайт;
• Нормализация: логи могут иметь различные форматы, поэтому процесс нормализации направлен на формирование унифицированного представления данных от различных источников;
• Частота: высокая частота генерации логов затрудняет их сбор и агрегацию;
• Достоверность: зафиксированные события могут быть неточными, что особенно критично для систем обнаружения событий (например, обнаружение вторжений);
• Конфиденциальность: процедуры ведения логов не только фиксируют действия злоумышленников, но и сотрудников компании; поэтому необходимо соблюдать положения GDPR.

Пользователи и потенциальные пользователи управления логами могут приобретать комплексные коммерческие решения либо разрабатывать собственные средства управления и анализа логов на основе компонентов open source или закупать системы и подсистемы у коммерческих поставщиков. Управление логами — сложный процесс, в котором организации часто совершают ошибки при внедрении^[3].

При обсуждении управления логами часто фигурируют два термина, которые могут показаться схожими, но имеют различные значения:

• Логирование — это вся информация, которая может быть сразу отброшена техническими процессами приложений или веб-сайтов, т. е. данные и ввод пользователя.
• Аудит (англ. auditing) — это данные, не подлежащие немедленному удалению. Данные, собираемые в ходе аудита, надёжно хранятся, защищены механизмами авторизации и связаны с определёнными функциональными требованиями конечного пользователя.

Логирование предоставляет ценную информацию для поддержки и сопровождения приложений и веб-сайтов. Оно может использоваться для:

• классификации, является ли сообщённая проблема реальной уязвимостью;
• улучшения анализа, воспроизведения и устранения ошибок;
• помощи в тестировании новых функций на этапе разработки.

Архитектура системы управления логами может быть представлена как состоящая из пяти последовательных функциональных уровней^[1]:

1. Генерация логов: этот уровень отвечает за создание данных логов внутри приложений или клиентских сервисов с последующей передачей для хранения по сети. В некоторых случаях сервер аутентифицируется на клиентской машине и извлекает логи;
2. Хранение логов: сохранение данных происходит на сервере в режиме реального времени или по расписанию. В логах должны находиться только важнейшие и консистентные данные (например, используемый timestamp);
3. Анализ логов: для выявления закономерностей и аномалий применяются специальные инструменты, способные обнаружить то, что невозможно обнаружить человеку визуально. Анализ носит преимущественно реактивный характер и ориентирован на выявление текущей деятельности и признаков возможных проблем;
4. Мониторинг логов: на этом уровне используется консоль для мониторинга и анализа логов, управления логами на клиентских и серверных устройствах, а также генерации отчётов и автоматизированных аналитических результатов. Доступ ограничен необходимыми функциями;
5. Защита логов: в связи с важностью информации в логах необходимы меры безопасности как против внешних атак, так и от внутренних ошибок.

Согласно положениям, установленным декретом Гаранта по защите персональных данных, опубликованным в Официальном вестнике № 300 от 24 декабря 2008 года^[4], каждая организация, определив системы (Сетевые устройства, базы данных, средства безопасности и сложные программные комплексы), содержащие критически важные данные, обязана назначить администраторов этих систем, а также внедрить систему управления логами, способную отслеживать доступ операторов к устройствам и приложениям, которыми они управляют.

Такая система должна хранить данные в безопасном виде не менее шести месяцев и быть доступной для проверок самой организации и уполномоченных органов.