不論是資訊環境或是實體環境,企業內有太多會產生稽核軌跡(Audit Trial)與記錄(Log)的地方,從用戶端到對外服務的網站、從外部防火牆、入侵偵測系統到內部網路節點、從應用系統、網站、電子郵件服務、上網記錄到即時通訊等,甚至是語音電話系統。幾乎是所有企業營運過程中的環節都可以產生所謂的稽核軌跡與記錄。因此,Log的管理便是一項很龐大的工程,也因應而產生了所謂的SIM/SEM以及幫人代管的Security Managed Service 或安全監控中心SOC。
對Log管理需求的轉變
稽核記錄管理(以下簡稱Log管理),有幾點必須要考量的問題,包含記錄的有效性及正確性、涵蓋範圍、保存期間,在此之前必須回歸到產生Log 的原始用途以及企業營運與Log之間的相關性及必要性。以往,Log是分散於各處,以不同的形式(大多是電腦檔案)儲存,不到必要時候,很少人會跟視力與時間過不去而經常翻閱Log檔案,僅在於發生一些狀況,需要知道來龍去脈時,Log就會變成鐵一般的證據來源(證據力問題不是本文重點,未來有機會再討論之),用來找出問題根源,還原事件始末並找到根本原因;或者找出異常的行為,防範於未然。 現在個資法修正三讀後,Log檔案有了新的身分及重要性,先快速看過以下的條文內容節錄以及Log稽核記錄管理相關探討,再來探討如何在後個資法時代做好Log安全稽核記錄管理。
Log管理實務三步驟
第一步、清查Log的發源地與確認內容之完整與實用性
一般常見的稽核檔案內容欄位有時間、動作主體、動作受體、動作描述等基本的必要項目。而更進一步則可以加上動作本身的參考來源(Reference)與動作本身所帶的內容資訊(Content)。像是網頁存取的稽核記錄則包含日期、時間、客戶端IP位址、使用者名稱、服務名稱、伺服器IP位址、伺服器連接埠、方法、URI (cs-uri-stem)、URI查詢 (cs-uri-query)、Http狀態、Win32 狀態、送出位元組、接收到的位元組、花費時間、通訊協定版本、Host、使用者代理伺服器 (cs(User-Agent))、Cookie內容、參考來源,總計近20項,也就是說一個完整的動作就會有一筆20個欄位的Log記錄,所以一個流量夠大的電子商務網站,其網站一天的稽核記錄可能高達數GB之多,當然其Log記錄項目是可以調整的,僅記錄您所需要的項目,就可以減少其容量的暴增。
這只是在企業環境中,一種網站服務的Log記錄而已,而企業處理個資的接觸流程絕對不僅於網站本身、資料庫、內部應用系統、用戶端電腦,所以在整個過程中都有可能有著Log檔案的產生。所以您首先會遇到的第一個問題就是,Log檔案在哪裡、以甚麼形式儲存、內容是否足以涵蓋完整的一個處理個資的行為、這樣的記錄會被系統保存多久,是否有集中存放管理之?
另外,從內部資料流動的方向性來看,可以簡要分為內對內、內對外。因此在各種稽核記錄的產生與重要性來說,兩種方向模式的Log個扮演著不同的角色,可以從中看出的活動軌跡亦不同。以電子郵件為例,包含行為(action)的內容 (content) 才有足夠的實用性與完整性;而上網記錄 (web proxy log)可能就不需要把網頁整個儲存下來,但是可以透過內容過濾機制記錄下可能經由 web 網頁介面傳輸資料的內容,而即時通訊IM內容過濾亦是。所以,除了知道Log在哪邊還得要確定這樣的內容是否足以滿足(表2)中的各項需求。
您可以做出以下的表格,協助您清查Log的發源地與確認內容之完整與實用性。
第二步、關鍵Log記錄的保護與管理
當Log記錄的各種來源與記錄需求確認後,下一步便是對於關鍵Log記錄的保護與管理。表3是一般常見的Log來源,讓各位讀者了解,您最後會發現太多的Log記錄反而是造成企業資訊垃圾的累積,因此針對個資安全為核心,會有以下幾種關鍵的記錄來源:
? 身分鑑別與授權管理相關(IAM):舉凡系統帳號管理、使用之記錄,權限變更之記錄等。
? 資料本體安全相關 (data oriented):重要資料內容所流經之相關資訊節點,包含外部網站、電子郵件、資料庫、內部應用系統、資料備份、印表機到對外的資訊服務與通訊管道等。
? 資訊環境相關(IT security):實體安全、端點安全管理、USB管理以及各種安全設備,主要是發現對個資所處環境之危害能夠有記錄可循,很多非故意、非過失的外力原因便是由資訊環境中發酵。
? 流程相關:這是廣義的記錄,對於上述項目之管理活動、政策、內外稽核,都可以看出企業對個資管理與保護的誠意。
修正後的個資法條文中,要求「訂定個人資料檔案安全維護計畫」,就一個完整的個人資料檔案安全維護計畫來看,除了各種必要的安全控制措施之外,其中應該包含Log記錄管理與保護機制。有了這樣的保護機制,方可驗證安全維護計畫的執行狀況,再者若發生破壞或違反安全維護計畫之事件,將可提供一定程度的證明其無故意或無過失的狀況。通常針對Log記錄的管理方向,會朝著集中化管理、自動化管理為目標,一者Log管理可透過自動集中化減少人為介入的人力資源並且避免人力技術導致其正確性遭竄改而破壞;二者可透過集中管理統合關聯其中所隱含的訊息,若有可疑之行為亦可及早從中發掘出。
第三步、檢視Log管理規劃是否能因應未來的挑戰
前面提到Log記錄的數量多、容量大,而且因應法規的要求,未來保存的期間肯定會加長,這將導致企業面臨新的Log記錄管理挑戰,容量太大、取用困難,甚至需要某一些時間點的資訊時,無法在有限時間中提供充足的分析,除了企業本身外,檢調案件調查、電腦鑑識與法律活動中,可能也會投入大量時間成本在面對海量資料的分析上。因此,因應而生的安全資訊與事件管理(SIEM)、電子化蒐證(e-discovery)都在試圖解決這樣的問題。
同時,也應該要避免一些常見的刻板印象與錯誤認知,以免錯誤的認知導致規劃不足或方向錯誤。
迷思1:光是 Log 記錄管理就足以確保個資安全與善盡管理之責任?
錯,Log 記錄管理並無法完全確保個資安全,資料安全是整個生命週期相關的環節都需要緊緊相扣,包含人員的資安意識與能力訓練。
迷思2:SIEM可以提供所有你需要的log管理,搜尋 Log記錄很簡單迅速?
錯,產品是死的,正確的導入與規劃才是關鍵。
這一類的錯誤認知就像認為SOC資安監控中心一定可以偵測到威脅的發生,往往發現事件時都是從意想不到的小地方,偵測不到的才是最危險的。避免陷入認知上的錯誤,了解目前與未來對於Log記錄管理的規畫目標,以及因應可能面對的挑戰,才能在有限的資源下發揮最大的成效。
本文作者為資安分析師