Upravljanje log fajlovima uz BalaBit
Upravljanje log fajlovima je ključan segment zaštite i održavanja operacija informacionog sistema. Logovi mogu biti od pomoći pri otkrivanju bezbednosnih incidenata, operativnih problema i nezamenljivi su u IT reviziji i forenzici. Veliku pomoć pruža BalaBit Syslog‑ng Store Box.
Sakupljanje i analiziranje logova nije samo stvar dobre prakse, već je i deo zahteva koje određuju propisi i standardi, kao što su ISO 27001, PCI DSS ili standardi koje propisuje Narodna banka Srbije za finansijske institucije. Narodna banka je 2013. godine usvojila Odluku o minimalnim standardima upravljanja informacionim sistemom finansijske institucije (akt je stupio na snagu 2014), kojom je ustanovljen skup standarda, među kojima su i standardi upravljanja zapisima, odnosno logovima.
Upravljanje logovima određeno je kao ključan deo obezbeđenja i održavanja operacija informacionog sistema. Operativni sistemski zapisi označavaju hronološke zapise o događajima i aktivnostima na resursima informacionog sistema (zapisi operativnih sistema, aplikativnog softvera, baza podataka, mrežnih uređaja i slično). U tački 21. se kaže da je finansijska institucija dužna da, na osnovu rezultata procene rizika informacionog sistema, uspostavi adekvatan sistem nadgledanja tog sistema i generisanje operativnih i sistemskih zapisa, kao i da utvrdi vreme čuvanja, te učestalost, opseg i način praćenja tih zapisa. Zahteva se da zapisi sadržate dovoljnu količinu informacija radi identifikovanja problema, rekonstruisanja događaja i otkrivanja neovlašćenih pristupa i aktivnosti na resursima informacionog sistema, kao i radi utvrđivanja odgovornosti s tim u vezi.
U tački 51. se navodi da je Banka dužna da obezbedi postojanje odgovarajućih operativnih i sistemskih zapisa kako bi se u odgovarajućoj meri obezbedila neporecivost i dokazivost radnji u vezi sa elektronskim bankarstvom. Zadatak koji je postavljen pred finansijske institucije nije jednostavan, ali je neophodan i obavezan.
Uz prave alate, svaki posao je lakši
BalaBit Syslog‑ng Store Box (SSB) može da pomogne finansijskim institucijama da ispune standarde vezane za upravljanje logovima/zapisima koje propisuje Narodna banka. Syslog‑ng Store Box je uređaj (fizički ili virtuelni) dizajniran za bezbedno, pouzdano i skalabilno upravljanje logovima. SSB omogućava:
- Centralizovanje svih logova u bezbedna spremišta
- Sakupljanje logova sa različitih izvora
- Bezbedan transfer i čuvanje logova
- Zaštitu logova od neovlašćenog pristupa
- Indeksiranje događaja kako bi se brzo pretraživali logovi
- Jednostavno kreiranje pravila za zadržavanje, odnosno brisanje podataka
- Centralno sakupljanje logova i arhiviranje
SSB nudi jednostavan, pouzdan i udoban način za sakupljanje i upravljanje logovima centralno. To je tzv. „ključ u ruke“ log server velikih kapaciteta s podrškom visoke dostupnosti. Sposoban da sakuplja logove s različitih platformi, SSB može lako da se integriše u bilo koje IT okruženje.
Bezbedan transfer i čuvanje logova
Sprečavanje prisluškivanja tokom transfera poruke i nedozvoljenog pristupa kada poruka stigne do log servera od esencijalne je važnosti za bezbednost. Svi podaci mogu se čuvati kao kriptovani, digitalno potpisani fajlovi s vremenskom oznakom, sprečavajući na taj način bilo kakve izmene ili manipulacije i zadovoljavajući najstrože bezbednosne standarde i zahteve za usklađenošću.
SSB nudi moćnu platformu koja može da indeksira desetine hiljada poruka u sekundi, omogućavajući brzu tekstualnu pretragu više terabajta logova. Koristeći Web interfejs, korisnik može da traži logove prema različitim parametrima. Džokeri i logički operatori omogućavaju korisnicima da vrše složene pretrage i dobiju više nivoa rezultata. Korisnici mogu da generišu ad hoc grafikone i steknu brz uvid u pregled problema.
Robusna kontrola pristupa
Koristeći SSB‑ova podešavanja za Authentication, Authorization i Accounting finansijske institucije mogu da spreče neovlašćene osobe da pristupe podacima o logovima. SSB može da se poveže sa udaljenom LDAP bazom podataka (na primer, s Microsoft Active Directory serverom) kako bi se korisnici koji imaju pristup SSB Web interfejsu razvrstali u grupe. Na primer, moguće je odobriti pristup samo logovima određene aplikacije inženjeru koji je zadužen za podršku toj aplikaciji – čak je moguće ograničiti pristup na osnovu vremenskog okvira podataka.
Syslog‑ng Store Box i drugi BalaBit‑ovi proizvodi relativno su novi na našem tržištu, ali je BalaBit širom sveta poznat po svom open source rešenju za log menadžment – syslog‑ng, koje koristi više od milion kompanija. BalaBitB je inovator na poljima log menadžmenta i naprednog monitoringa. Ima prodajne centre u Francuskoj, Nemačkoj, Mađarskoj, Rusiji, Velikoj Britaniji i SAD i partnere u više od 40 zemalja. U Srbiji, BalaBit‑ov partner je Net++ technology, koji i nudi sve BalaBit‑ove proizvode, uključujući i Syslog‑ng Store Box. Ukoliko želite prezentaciju, demonstraciju ili probu ovog proizvoda, javite se preko sajta www.netpp.rs.
Anja Kiš
(Objavljeno u časopisu PC#221)