Kako da IT forenzika i revizija budu lakše, brže i jeftinije

31. 03. 2015.10. 04. 2017. Nenad Veljković

Danas nije pitanje da li će, već kada će doći do bezbednosnog incidenta: svaka kompanija, bilo mala ili velika, može postati „sajberžrtva“. Pretnja nisu samo hakeri, već i zaposleni i outsourcing partneri koji slučajno ili namerno nanose ozbiljnu štetu.

Kada dođe do havarije, ne možete preduzeti ništa osim da se oslonite na svoje logove, generisane preko mrežnih uređaja i aplikacija, koji su ključni za utvrđivanje uzroka incidenta. Ipak, mnoge kompanije nailaze na brojne prepreke prilikom forenzičkih istraga.

Izazovi

Prvo i najvažnije iskustvo kaže, nije lako pristupiti logovima. Oni se mogu nalaziti na različitim lokacijama ili na različitim sistemima, zbog čega je teško prodreti do srži problema, ondosno uzroka incidenta.

Ako nemate sve delove i informacije koje su potrebne, može se desiti da vam promakne baš onaj delić koji treba da vam posluži kao dokaz. Bez tih delova, sklapanje cele slike onoga što se desilo u vašem sistemu može potrajati dugo, a rezultati istrage mogu biti nepouzdani.

Ako ste ipak sakupili sve potrebne informacije, onda se susrećete sa ogromnom količinom podataka koju treba pregledati u forenzičkoj istrazi, što može da odloži detekciju i rešavanje problema. Pretraživanje ekstremno velikih količina podataka može da potraje satima, a vi želite odgovor za nekoliko sekundi.

Logovi sakupljeni na nestrukturisan način još više će usporiti forenzičku istragu. Mnoge kompanije muče se da daju smisao logovima koji mogu da budu u različitim formatima i strukturama, nekad čak i za istu vrstu događaja.

Slab integritet podataka takođe otežava istragu. Jer, kada konačno otkrijete šta se desilo, morate imati logove koji zadovoljavaju standarde predviđene za dokaze. Logovi koji su transformisani iz originalnog formata ili nisu čuvani na bezbedan način mogu biti odbijeni kao dokazni materijal na sudu.

Rešenje za lakšu istragu

Dakle, činjenica da ste hakovani nije jedini problem, predstoji vam mnogo posla nakon toga. Kada dođe do incidenta, vreme postaje vaš najdragoceniji resurs i ne smete da ga rasipate. U krizi je najvažnije reagovati brzo: morate brzo i efikasno da pretražujete logove i treba vam pouzdan transfer logova i bezbedan storage. Kako da rešite ove probleme?

Indeksiranje i dobar korisnički interfejs mogu biti od pomoći za brzo pretraživanje terabajta podataka. BalaBit‑ovo rešenje Syslog‑ng Store Box poseduje te karakteristike. Syslog‑ng Store Box, kao i Syslog‑ng Premium omogućavaju bezbedan i pouzdan transfer logova i garantuju zero message loss prilikom transporta od klijenta do centralnog log servera. U tu svrhu koriste:

TCP (Transmission Control Protocol) za prenos podataka,
RLTP (Reliable Log Transfer Protocol) za potvrdu aplikacija,
client‑side disk buffer i
client‑side failover za otkaze mrežnog sistema.

Dalje, oba proizvoda koriste SSL/TLS enkripciju za transfer logova i čuvaju logove kao kriptovane, vremenski označene i digitalno potpisane log fajlove. Osim toga, Syslog‑ng može da filtrira, raščlanjuje, prepisuje i klasifikuje podatke na klijentima i tako smanji veličinu i kompleksnost log podataka koji se čuvaju centralno.

Koje su prednosti ovakvog pristupa? Činjenica da možete da segmentirate i pretražujete gomile logova omogućava vam brže otkrivanje uzroka i sanaciju problema. Bezbedni logovi, koje je nemoguće menjati, u svom originalnom formatu, predstavljaju zakonski prihvatljiv dokaz, dakle u vašim rukama nalaze se podaci visokog kvaliteta. Poslednje, ali ne i najmanje važno, jeste vaše poverenje. Možete da budete sigurni da su svi logovi na broju, tj. da nijedan ne nedostaje, i da nisu izmenjeni, tako da niko ne može da dovede u pitanje rezultate istrage.

Da li je time problem rešen?

Pretpostavimo da ste sakupili sve logove i indeksirali ih kako biste mogli da ih lakše pretražujete. Pretražujete ih, ali i dalje ne pronalazite deo koji nedostaje da zaokružite celu priču. Alati za upravljanje sistemom poboljšavaju mogućnost rešavanja sistemskih problema, ali problemi nastali zbog ljudske greške ili ciljani napadi i dalje ostaju nerešivi. Sajbernapadači sve više preuzimaju administratorske naloge, čime stiču privilegovan pristup čitavom IT okruženju i nemaju striktna ograničenja. U mnogim slučajevima, forenzika u velikim kompanijama poverena je lokalnom timovima ili grupama koje su zadužene da reaguju u kriznim situacijama (CERT ili CIRT), međutim bez pouzdanih snimaka administrativnih pristupa serverima, istrage incidenata postaju skupe i posredne.

Uz to, eksterni standardi kao što su ISP 2700x ili PCI‑DSS predviđaju stroge mere za podršku budućim istragama, zahtevajući da se omogući snimanje aktivnosti korisnika ili nedozvoljenog logovanja. Bez snimanja korisničkih sesija na pitanje ko je šta uradio i kada, gotovo je nemoguće odgovoriti i često vodi ka neosnovanim optužbama, upiranju prstom na krivce i rasipanju novca na istrage incidenata. Da biste izbegli ovo, možete implementirati rešenje za pouzdano snimanje sesija.

Eliminisanje slepih tačaka

Shell Control Box (SCB) može da vam pomogne u istragama incidenata povezanih sa IT sistemima. Na primer, u slučaju neočekivanog gašenja, curenja podataka ili manipulacija baza podataka, okolnosti događaja odmah su dostupne u revizijskim tragovima tako da se uzrok incidenta može odmah otkriti. Snimljeni revizijski tragovi mogu se gledati kao film – rekonstruišu sve aktivnosti korisnika. Na taj način, SCB pomaže vam da otkrijete ne samo uzrok problema nego i odgovornu osobu. Ovo je naročito važno kada se radi o sistemima koji su od ključne važnosti za posao ili kada kompanija outsource‑uje IT administraciju eksternoj kompaniji.

Revizijski tragovi su od neprocenjive važnosti kako za istrage u realnom vremenu, tako i za istrage nakog incidenta. Oni omogućavaju internom revizoru da traži, recimo, sve korisnike koji su pristupali određenom nalogu u određeno vreme, na svim platformama, u celom preduzeću. S obzirom na to da se revizijski tragovi mogu lako interpretirati, SCB eliminiše potrebu za skupim spoljnim konsultantima u slučajevima forenzičkih istraga. SCB ne dozvoljava nikome da modifikuje informacije iz revizije, jer su revizijski tragovi vremenski označeni, kriptovani i potpisani. Ovo čini SCB sposobnim da rekonstruiše događaje i omogući neoborive dokaze ako dođe do sudskih procedura.

Niži troškovi forenzike i otkrivanja problema

SCB je nezavisan mrežni uređaj koji radi transparentno i izvlači informacije potrebne za reviziju direktno iz komunikacije klijenta i servera. Revizijski tragovi mogu se pregledati online, a mogu se koristiti za nadgledanje aktivnosti svih administratora u realnom vremenu. Audit Player omogućava da ubrzate (premotate) snimke prilikom pregledanja, kao i tekstualnu pretragu događaja, čime skraćujete vreme potrebno za forenzičku istragu, a time i troškove. Zahvaljujući mogućnosti tekstualne pretrage, mogu se pretraživati i alfanumeričke komande koje unose korisnici ili tekst u grafičkom protokolu (npr. RDP). Takođe, moguće je izvršiti pretragu na velikom broju revizijskih tragova kako bi se pronašle sesije koje sadrže određene informacije o događaju.

Uz snimanje revizijskih tragova nadgledanih protokola, ugrađeni protokoli (na primer, drugi protokoli tunelovani u SSH, port‑forwarding) i poslati fajlovi mogu se takođe snimati. Snimljeni fajlovi sa SCP i SFTP konekcija mogu biti ekstrahovani radi daljih analiza. Čak je moguće konvertovati revidirani saobraćaj u packet capture (pcap) format da bi se analizirali eksternim alatima. Na primer, ako servis postane nedostupan, možete dobiti listu korisnika koji su najskorije pristupali serveru, proveriti vrstu pristupa (transfer fajlova, shell itd.) i otkriti koji je mogao da utiče na servis, zatim proveriti sadržaj poslatih fajlova, dobiti listu unetih komandi i reprizirati sumnjive sesije.

Rešenje u kratkim crtama

Jednostavno pitanje „ko je pristupio našem serveru i šta je radio?“ jedno je od najtežih za IT danas. Kompanije mogu biti hakovane, pogođene napadom uskraćivanja usluga, biti žrtve prevare ili im mogu biti ukradeni podaci. Često ne možete da učinite ništa protiv toga, ali možete pomoći istrazi: sakupljanjem i čuvanjem strukturisanih podataka i tako što ćete se postarati da nemate izgubljenih poruka. Uvek budite spremni za slabe (slepe) tačke i budite oprezni s događajima koji se ne vide u logovima.

Net++ technology je Silver Reseller za BalaBit proizvode u Srbiji. Ukoliko želite prezentaciju, demonstraciju ili probu ovog proizvoda, javite se preko sajta www.netpp.rs

Anja Kiš

(Objavljeno u časopisu PC#219)

Facebook komentari:

Možda će vas zanimati:

Tagovi: .NET, BalaBit, forenzika, netpp, revizija, Shell Control Box, Syslogng Store Box, Syslog‑ng Store Box

Izumeli su toplu vodu. Zamisli žene ne mogu da rade kao muškarci, ali mogu da primaju istu platu

Bravo Kavčiću! Treba ukinuti sve izdavače! Leglo korupcije preko grbače roditelja koji skupo plaćaju udžbenike. Nacionalni prosvetni savet sastavljen od…

Ne znam čemu lažne informacije.. Uvek ste mogli otvoriti preduzeće, a svakako se prijaviti kao preduzetnik i tako regulisati sva…

"...Prebacite sve ove prekidače na opciju uključeno..." "uključeno" ili "isključeno"? Pretpostavljam da je "isključeno" bio cilj ovog teksta. Pozdrav

Jako kvalitetni i korisni sajtovi a lepo je to što ste uvrstili i Facebook Stranicu u listu