觀點

被遺忘的國境之南-稽核記錄管理

2009 / 07 / 08
編輯部
被遺忘的國境之南-稽核記錄管理

稽核記錄管理越來越被企業所重視,但計劃的規劃階段常是IT人員頭痛的地方。

  一群群的雁鴨飛越了國境之南,沒錯!就是海角七號的恆春郡,雁鴨帶來了秋天,總讓人察覺到光陰的匆匆,又到了編列年度預算的季節,。

  「喂!在發什麼呆,老賴交代的年度IT預算規劃做完了沒?」小陳還沉醉在秋天的白日夢裡面,硬生生地就被拉扯出國境之南的幻想空間。想著,「對了,老賴說明年資安目標要比今年更精進,搞不太懂他的意思?是要裁減人力?是要增加設備?還是要辦教育訓練?算了,先問問老同學阿良(在另外一家大企業的IT小主管),以前在學校作業都靠阿良罩著,考試也是…」。

小陳:老同學!問一下你明年IT有什麼好計畫來參考一下(完全很直接地切入)。

阿良:你要哪一類的?IT計畫很廣耶!(阿良你真是好人)。

小陳:我老闆說要精進一點的。

阿良:賴兄嗎?你應該直接問他比較快。

小陳:可是這星期就要提案了。

阿良:你又延誤啦?每次都提醒你要早點動作的。

小陳:我搞不懂我老闆要什麼。

阿良:這個簡單。之前剛好有做相關稽核記錄管理(Log Management)的規劃。一般來說,你必須要把這個工作分成短中長期計畫,可以參考以下的架構,然後依照你們公司的狀況做一個貼切的調整。

小陳:我老闆會問這樣有什麼好處、要花多少錢?

阿良:至少老賴會先問有什麼好處,像我老大都是先問要多少錢,根本不管有沒有好處。Log管理一直是被忽略掉的一塊,我們是因為外面的客戶有一天忽然來函要求要建置相關的Log保存機制,說是國外SOX法案已經稽核到他們總公司,甚至要求上下游廠商也必須配合,否則生意就做不成了。所以我老大就叫我評估怎樣在最小成本下達到這個目的。

小陳:那你怎麼做的呢?我們公司可能也會有客戶來要求相關的建置,快教我。

阿良:我也是問我朋友,後來搞了一台SysLog的集中管理伺服器,把所有可以產生Log的來源,都把資料丟到這一台來儲存。

小陳:什麼是SysLog?

阿良:以前Unix課程有教啊,就是在Unix裡面已經存在的Log機制,你可以設定很多相關來源都可產生這種格式的Log,包含Windows平台和網路設備。

小陳:就這麼簡單啊?看來今年又可以好好專心地做這個計畫(心裡暗自竊喜又可以撐1年,然後又感覺很有成效)。

阿良:等你遇到了就知。Log管理到最後會變成過多資訊等於沒資訊的阻斷服務攻擊。如果你沒從目的層面來考量作法,到最後你會拿到很多原始資料,但是要花更多時間去找出你要的資訊。這是我曾經遭遇過的痛苦,花了1個星期去調出某一台機器在幾個月之前的資料。

小陳:那你現在怎麼做呢?快給我答案吧。

阿良:現在啊,至少有公司的Log管理與保存政策,依照不同的目的(例如:完全保存、安全管理、效能管理)在Log蒐集之前就進行淨化與分類,然後依照不同的生命週期存放到不同的儲存裝置。去年還導入了關連分析的引擎,讓相關的資安警訊自動分析產生出事件的來龍去脈。

小陳:這樣有什麼好處呢?可不可以舉個例子?

阿良:如果客戶來稽核SOX,這當然是必要的。就像是偵辦洗錢案,很多資料你沒有帳戶活動記錄,就不知道有這種國際洗錢的活動,但是你如果有了太多的資訊,反而必須花更多時間去過濾分析。所以人家就會設定警示帳戶,然後針對特定的事件訊息做記錄,將來要調查或預防洗錢就有跡可循。

小陳:這案例太棒了! 你簡直是名嘴,那我馬上去跟老賴談談。晚上吃飯吧!! Bye!!

  趕在老賴下個會議之前,小陳一五一十把剛學來的招式滔滔不絕地都吐了出來,把Log Management講的就好像電影裡面一個日本老師不得不離開台灣,等了60年才收到來信的相見恨晚,看似順利地通過老賴的考驗。但是,小陳卻不知道災難的黑水正等著他一腳踩進來,電影都是這樣演的,不是嗎?

Log產生的來源

? 網路設備:Route、Firewall、IDS/IPS、閘道型設備(防毒牆、Proxy)。

? 伺服器:AD、WEB、Mail Server幾乎每個伺服器都會有。

? 資安相關:防毒、端點防護機制、內容管理、SSO單一簽入。

? 應用系統:各種企業內所使用的應用系統均可以設計產生Log記錄的功能,可以針對用戶的登入/?登出、存取重要資訊、權限變更等進行記錄。

? 實體門禁:刷卡進出、特定區域的記錄。


稽核記錄管理計畫

短期計劃


(1) 找出公司IT環境中目前已經會產生Log的來源。

(2) 找出公司IT環境中哪些地方應該留下Log記錄而目前尚未做設定。

(3) 涵蓋範圍:網路設備主要伺服器的安全與錯誤Log。

(4) 建立基本的Log蒐集與及集中管理的解決方案。

中期計劃

(1) 擴大Log稽核產生範圍,包含在主要的應用程式裡面設計產生Log的機制,讓應用程式的使用也有跡可循。

(2) 符合相關法規的要求,如SOX沙賓法案這一類對於Log檔案的儲存、搜尋與報告的特別需求。

(3) 建置與制定Log保存的儲存環境和機制。

(4) 建置Log記錄的分析與報表產出方案。

長期計畫

  對長期而言必須考量Log保存的歸檔、調閱等實務需求,朝向自動化、關聯化的SIM(安全資訊管理)的建置,可以提供滿足企業IT與安全管理需求的資訊。

  從Log管理的目的來說,一則是保存系統活動、用戶身分與權限使用的軌跡(Trails)以及在Log中找出潛在的安全問題或系統效能的警訊。然而Log的數量會隨著Log的內容細密度(detail)會有不同的成長速度,因此,必須在規劃時透過估算Log容量來輔助企業制定保存的政策、儲存地點與空間。

  也需評估以下技術問題,包括如何開啟Log記錄到適合企業政策的選項,如何將這些來自於多個來源的Log原始資料集中到Log管理伺服器,並分階段分新鮮度(freshness) 進行近端或離線儲存。