1 Ноября, 2013

Это какие-то неправильные логи

InfoWatch
Логи, которые пишет подавляющее большинство программ, предназначены сисадминам, а не безопасникам. Они ориентированы на настройку взаимодействия, на поиск ошибок и неверной конфигурации, на оптимизацию ресурсов, на учёт потребления. А нам нужно – для расследования инцидентов, для выявления злоупотреблений, для поиска злоинсайдеров. Это ж совсем другой угол заточки.
       

Кроме того, нас обычно не устраивает, как логи хранятся. Сисадмину требуется, чтобы логи было удобно посмотреть, факторизовать, сравнить, агрегировать, посчитать статистику. А ещё – чтобы в случае падения программы она успела бы сказать что-нибудь на прощание, и эта запись не потерялась бы. У нас задачи перпендикулярные. Нам нужно по возможности изолировать логи от злоумышленника, затруднить их уничтожение и фальсификацию. А ещё – чтобы наши логи имели юридическую значимость, то есть оптимизировать их сбор и хранение под существующее процессуальное право.

Соответственно этому, по своей направленности логи должны поделиться на отладочные (традиционные) и криминалистические.

Примерно так, как уже поделились бэкапы. Обычное резервное копирование направлено на восстановление системы после сбоев. А криминалистическая копия диска делается для поиска следов при расследовании инцидента. Эти цели настолько различны, что обычный и криминалистический бэкапы даже не пересекаются – они делаются на разных устройствах, разными людьми, по разному расписанию.

Криминалистические логи пока не отпочковались от обычных. Нам приходится вести расследование, пользуясь чужим, не приспособленным для нас инструментом.

или введите имя

CAPTCHA
Антон
4 Ноября, 2013
А кто мешает протоколировать доступ к логам?
Другой уровень контроля, в других логах. Пара "прикладной лог" + "лог доступа к прикладному логу" уже облегчат жизнь в заорганизованных СИБ организациях - у сисадмина по прежнему доступ к логу, у СБ контроль. Плюс у сисадмина ощущение контроля, которое само по себе удерживает от фигни (как камеры наблюдения, самый близкий пример). А для нетипичного доступа - вполне себе критерий, контролька для СИБ.
0 |
Guest
14 Ноября, 2013
Ценный комментарий, Антон, хотя в статье, как я понял, речь шла не совсем о том. А именно о необходимости учитывать интересы не только сисадминов, но и админов ИБ. И вопрос обращен в первую очередь к разработчикам ОС и ПО под эти ОС.
0 |