Κάθε φορά που βρίσκομαι σε ένα computer room, εντυπωσιάζομαι από το πλήθος των  συστημάτων που εξυπηρετούν ίσως χιλιάδες χρήστες και πάντα έχω την ίδια απορία μέσα στο μυαλό μου: πόσοι άνθρωποι άραγε χρειάζονται για να παρακολουθούν αυτά τα συστήματα συνέχεια; Αν υπήρχε κάποιο πρόβλημα, πόσο σύντομα αυτό θα γινόταν αντιληπτό και θα λυνόταν;

Η απάντηση στο παραπάνω ερώτημα είναι απλή. Είναι αδύνατον κάποιο μηχανογραφικό τμήμα να μπορέσει να διαθέσει τόσα πολλά άτομα για να διαχειρίζονται και να παρακολουθούν αυτά τα συστήματα συνεχώς, πόσο μάλλον να διαχειριστούν και να ελέγξουν χιλιάδες καταγραφές (logs) που παράγουν συνεχώς.
Για παράδειγμα, ας πάρουμε ένα απλουστευμένο σενάριο επίθεσης, που αρχικά εντοπίζεται εύκολα σε ένα σύγχρονο κεντρικό Firewall. Σε ένα τέτοιο σύστημα παράγονται χιλιάδες καταγραφές ανά δευτερόλεπτο, που όταν απομονωθούν μπορούν να αποκαλύψουν, για παράδειγμα, κάποια οργανωμένη επίθεση Denial of Service (DDoS) ή κάποια οργανωμένη επίθεση από το διαδίκτυο στο Web server μας. Ωραία λοιπόν, για να δούμε πόσο εύκολο είναι να διαπιστωθεί μία κακόβουλη επίθεση από ένα διαχειριστή.
“Ως διαχειριστές συστημάτων ασφάλειας, ανοίγουμε την εύχρηστη διαχειριστική κονσόλα καταγραφής του Firewall μας, ψάχνοντας με συγκεκριμένα φίλτρα για οργανωμένες επιθέσεις στην ιστοσελίδα μας. Μετά από κάποια ώρα διαπιστώνουμε τη δικτυακή πορεία της επίθεσης και στη συνέχεια, θέλοντας να διασταυρώσουμε τα στοιχεία μας και με τους διαδικτυακούς μας Routers μας, ανοίγουμε άλλη μία διαχειριστική κονσόλα, όπου συλλέγονται τα logs των Router μας (αν υπάρχουν φυσικά και αν συλλέγονται σε ένα σύστημα). Μετά από κάποια ώρα – και πάλι και μέσα στις χιλιάδες καταγραφές – καταφέραμε να βρούμε αυτήν που μας ενδιαφέρει. Και τώρα; Ας ελέγξουμε και το τελικό σύστημα που δέχεται την επίθεση, πριν ανησυχήσουμε το διαχειριστή της ιστοσελίδας μας. Ανοίγοντας μία τρίτη διαχειριστική κονσόλα απομακρυσμένης σύνδεσης, ελέγχουμε φυσικά – και πρώτα από όλα – τις καταγραφές τόσο του Web Server μας, όσο και τις καταγραφές του λειτουργικού συστήματος. Μετά από αρκετή ώρα αρχίζουν τα δύσκολα. μα τι μπορεί να είναι αυτός ο κωδικός λάθους στο security event log; Ποια από τις καταγραφές να κοιτάξω πρώτα στο web server μου; Μήπως να κοιτάξω και τη βάση μου και τα events που παράγονται και εκεί; Άραγε, είναι φυσική η λειτουργία αυτή; Να φωνάξω καλύτερα το διαχειριστή της βάσης; Πανικός”!!!
Όσο απλοϊκό και αν ακούγεται, είναι δυνατόν ένας διαχειριστής να ελέγξει ανά πάσα στιγμή καταγραφές από πολλαπλά συστήματα και να μπορεί να τις συνδυάσει, καταλήγοντας σε ένα συμπέρασμα; Πόσο γρήγορα μπορεί να γίνει μια τέτοια ανίχνευση από έναν άνθρωπο; Πόσο γρήγορα θα μπορεί να λάβει μέτρα αντιμετώπισης;
Είναι δυνατό να έχει τόσες πολλές γνώσεις ώστε να διαχειρίζεται τόσα συστήματα, αλλά πολύ περισσότερο, να ελέγχει τις καταγραφές από όλα τα συστήματα που μπορεί να εμπλέκονται σε μία επίθεση; Και αν θεωρήσουμε ότι το τελευταίο είναι δυνατό – γιατί ως γνωστόν οι διαχειριστές ασφάλειας “πρέπει να τα γνωρίζουν όλα” – πόσους τέτοιους διαχειριστές χρειάζεται μια εταιρεία προκριμένου να καλύψουν όλο το 24ωρο; Γιατί φυσικά, οι επιτιθέμενοι δεν . σχολάνε στις έξι! Και αν δεν έχουμε έναν τόσο ικανό διαχειριστή ή αν ο μοναδικός ικανός διαχειριστής λείπει;
Για μισό λεπτό, δεν μπορεί, κάποια λύση θα υπάρχει. Μα τι προσπαθεί να επιτύχει τελικά ο διαχειριστής; Μήπως να προσομοιώσει ένα Intrusion Detection System (IDS) ελέγχοντας τις καταγραφές από πολλαπλά συστήματα και προσπαθώντας να εντοπίσει βάσιμα στοιχεία μιας οργανωμένης επίθεσης; Δηλαδή, αν συγκεντρώσουμε και συνδυάσουμε τις καταγραφές που πάντα παρείχαν τα συστήματα ασφάλειας δικτύωσης αλλά και τα τελικά συστήματα, μήπως μπορούμε με αυτοματοποιημένο τρόπο να εντοπίσουμε κάποιο πρόβλημα ή κάποιο σενάριο επίθεσης ανά πάσα στιγμή και με ευκολία; Τέτοιου είδους συστήματα, λοιπόν, ονομάζονται Security Event Management (SEM) ή Security Information Management (SIM). Τα τελευταία χρόνια, η αδυναμία των πιο σύγχρονων IDS να διαχωρίσουν το θόρυβο από τις πραγματικές επιθέσεις αλλά και να μειώσουν τις λανθασμένες επισημάνσεις (false positives) οδήγησε στην αναβίωση αυτής της τακτικής.
Οι μέχρι πρότινος “αδιάφορες” και πολλαπλές καταγραφές, γίνονται πλέον ο βασικός κορμός από τον οποίο είναι δυνατό να διαπιστωθεί και να ελεγχθεί μία συγκεκριμένη εξωτερική επίθεση, μία κακόβουλη χρήση ή ακόμα και μία λανθασμένη πρακτική από χρήστες με ιδιαίτερα δικαιώματα. Δεν είναι τυχαίο, φυσικά, που πολλά πλέον από τα πρότυπα όπως το ISO 1799, PCI, Basel II αλλά και το Sarbanes-Oxley, απαιτούν την ασφαλή αποθήκευση, τη διαθεσιμότητα αλλά και τη διατήρηση των audit logs – και όχι μόνο, για συγκεκριμένο χρονικό διάστημα (οι απαιτήσεις φυσικά είναι διαφορετικές ανά πρότυπο).
Άλλωστε, μία πρόσφατη έρευνα σε Αμερική και Ευρώπη ανέδειξε ως μεγαλύτερο κίνητρο προκειμένου να επιλέξουν οι πελάτες μία λύση SΕM, τη συμμόρφωση με κάποιο πρότυπο, τη δυνατότητα των αναφορών και την άμεση διερεύνηση ενός περιστατικού, καθώς επίσης και τη διαχείριση των καταγραφών (ασφαλή συλλογή, διατήρηση, αποθήκευση και διαγραφή, με βάση τις πολιτικές της εταιρείας) .
Πολλοί ίσως θα αναρωτηθούν ΄΄μα, από ποια συστήματα θα μπορούσα να συλλέξω τις καταγραφές΄΄; Οι πιο σύγχρονες λύσεις καλύπτουν πλέον τα περισσότερα από τα συστήματα που υπάρχουν στο δίκτυό μας, όπως:

  • Συστήματα Antivirus
  • Συστήματα Anti-spam
  • Συστήματα Intrusion Detection or Prevention
  • Remote Access (VPN, Terminal Servers)
  • Firewalls και Routers
  • Firewalls για βάσεις και ιστοσελίδες
  • Switches
  • Web Proxies
  • Βάσεις ( κυρίως Audit logs)
  • Συστήματα Mail
  • Συστήματα Network Access Control (NAC)
  • Συστήματα Αυθεντικοποίησης
  • Συστήματα Φυσικής Πρόσβασης
  • Λειτουργικά συστήματα (κυρίως Audit και System καταγραφές),

καθώς και πολλά άλλα.

Είναι λοιπόν αντιληπτό ότι αν συλλέξουμε και συνδυάσουμε τις καταγραφές από τα παραπάνω συστήματα, μπορούμε άμεσα να δημιουργήσουμε μια ολοκληρωμένη εικόνα για το τι ακριβώς συμβαίνει στην υποδομή μας. Πέρα από την ασφαλή συλλογή, διαχείριση και αποθήκευση που αποτελούν βασικές προϋποθέσεις για πολλά πρότυπα, η άμεση ενημέρωση μέσα από γραφικά Report ή με την αποστολή κάποιων ειδοποιήσεων, δίνει στον υπεύθυνο ασφάλειας, στο διαχειριστή – εν τέλει, σε έναν Ελεγκτή (Auditor) – την αίσθηση ενός καλά ελεγχόμενου περιβάλλοντος.
Ας δούμε ονομαστικά λοιπόν, ποιες είναι οι βασικές εταιρείες που προσφέρουν λύσεις SΕM:

  • ArcSight
  • RSA Software
  • CA
  • Checkpoint Software
  • IBM Tivoli
  • elQNetworks
  • LogLogic
  • Intelitactics
  • LogRhythm
  • netForensics
  • NetIQ.
  • Symantec
  • Quest Software
  • Splunk
  • XpoLog
  • Solutionary
  • SenSage

Αρκετές εταιρείες βρίσκονται σε αυτόν το χώρο, με βασικές διαφορές μεταξύ τους ως προς τις δυνατότητες αλλά και τον τρόπο υλοποίησης των λύσεων που προσφέρουν.
Μέχρι πριν λίγο καιρό θεωρούσα ότι σε αυτό το σημείο του άρθρου θα έπρεπε να κάνω μία σύγκριση στα βασικά σημεία που διαφέρουν, όμως τελικά κάτι τέτοιο δεν θα βοηθούσε, αφού κάθε παραγωγικό περιβάλλον είναι διαφορετικό και έχει διαφορετικές απαιτήσεις. Επίσης, μία δική μου ανάλυση δεν θα πρόσφερε μία ολοκληρωμένη εικόνα, αλλά μέρος της, αφού γνωρίζω σε βάθος μερικές και όχι όλες τις λύσεις. Αντ’ αυτού θα παρουσιάσω κάποια τεχνολογικά σημεία τα οποία θα πρέπει να διαθέτει μία λύση SΕM και τα οποία ίσως να αποτελούν βασικά κριτήρια επιλογής.
Διευρυμένες δυνατότητες.
Τα συστήματα διαχείρισης καταγραφών πρέπει να παρέχουν μία πλατφόρμα που να είναι ικανή να υποστηρίξει άμεσα ευρύτερες χρήσεις, όπως είναι η ασφάλεια, η συμμόρφωση σε διάφορα πρότυπα, οι δικτυακές ανάγκες και η ανίχνευση μηχανικών βλαβών. Παραδείγματος χάρη, μία ρυθμιστική συμμόρφωση μπορεί να απαιτεί να είναι άμεσα διαθέσιμες συγκεκριμένες εκθέσεις. Ενώ πολλές από τις εταιρείες διαφημίζουν έτοιμα πακέτα λύσεων για τη συμμόρφωση σε διάφορα πρότυπα, λίγες καταδεικνύουν πώς το περιεχόμενό τους χαρτογραφεί σαφώς τις ανάγκες αυτές. Αυτό είναι κρίσιμο, επειδή τα περισσότερα πρότυπα είναι αρκετά ασαφή ως προς τις απαιτήσεις τους. Κατά συνέπεια, οι οργανώσεις βρίσκονται αντιμέτωπες με μία αβεβαιότητα κατά τους ελέγχους συμμόρφωσης. Καλό λοιπόν θα ήταν πριν αποφασίσουμε για κάποια λύση SEM, να σιγουρευτούμε ότι τα πακέτα που προσφέρονται καλύπτουν ικανοποιητικά τις απαιτήσεις του πρότυπου.
Εύκολη Διαχείριση
Το εργαλείο διαχείρισης Log θα πρέπει να είναι εύκολο να υλοποιηθεί και να διαχειριστεί. Θα πρέπει να προσφέρει ένα εύκολοδιαχείριστο περιβάλλον, το οποίο θα περιλαμβάνει όλα τα απαραίτητα εργαλεία για τη διαχείριση του συστήματος, αλλά και την ανεύρεση συγκεκριμένων εγγραφών από μία βάση όπου θα βρίσκονται όλες οι καταγραφές. Επίσης, η κονσόλα διαχείρισης θα πρέπει να έχει τη δυνατότητα δημιουργίας διαφορετικών ρόλων και δικαιωμάτων, έτσι ώστε να γίνει πιο εύχρηστη για κάθε χρήστη.
Εύκολη ενσωμάτωση στην υπάρχουσα υποδομή
Η λύση θα πρέπει να μπορεί να αναπτυχθεί με ευκολία, έχοντας λίγες λειτουργικές απαιτήσεις – αλλά και με ευκολία να μπορέσει να ενσωματώσει απομακρυσμένες και πολλαπλές πηγές καταγραφών. Επίσης, σε αυτόν τον τομέα θα πρέπει να ελέγξουμε τον τρόπο συλλογής των καταγραφών. Υπάρχουν λύσεις που προσφέρουν τη συλλογή με την εγκατάσταση κάποιου προγράμματος (Agent) στα τελικά συστήματα και άλλες λύσεις στις οποίες δεν είναι απαραίτητο κάτι τέτοιο (agent less). Πολλές φορές, βέβαια, η ομαλή ενσωμάτωση εφάπτεται άμεσα με τη σωστή καταγραφή των αναγκών και απαιτήσεών μας με την κατάλληλη επιλογή λύσης και φυσικά το σωστό σχεδιασμό ένταξης μιας καινούριας λύσης.
Ασφάλεια σε όλα τα σημεία (συλλογή, αποθήκευση, διαχείριση, ανακύκλωση)
Η συλλογή και αποθήκευση των καταγραφών με ασφάλεια πρέπει να είναι δεδομένη, μιας και μας δίνει τη δυνατότητα για πιθανή χρήση τους σε μια προσφυγή στο δικαστήριο. Η ασφαλής μεταφορά και αποθήκευση πρέπει να εγγυώνται ότι δεν είναι δυνατό να παραμετροποιηθούν κακόβουλα οι καταγραφές. Οι πολιτικές διατήρησης και ανακύκλωσης των καταγραφών θα πρέπει να ενεργοποιούνται αυτόματα, βασισμένες στον τύπο συσκευών ή τη χρησιμότητά τους. Τέλος, η ασφάλεια στη διαχείριση είναι ένα σημείο που θα πρέπει να προσεχθεί ιδιαίτερα, αν αναλογιστούμε ότι σε αυτό το σύστημα/ λύση, θα είναι αποθηκευμένες όλες οι καταγραφές από πολλά συστήματα. Όπως αναφέραμε και προηγούμενα, θα πρέπει να έχει διαφορετικούς διαχειριστικούς ρόλους, με συγκεκριμένα δικαιώματα και προσβάσεις. Φυσικά και οι κινήσεις των διαχειριστών θα πρέπει να συμπεριλαμβάνονται στις καταγραφές, οι οποίες θα πρέπει να είναι διαθέσιμες μιας και η πρόσβαση σε ένα τέτοιο σύστημα αποτελεί καταγραφή ασφάλειας.
Εύκολη και ταχεία αναζήτηση σε μεγάλο όγκο εγγραφών
Η αναζήτηση μέσα σε μία βάση με Terabytes μπορεί να αποτελέσει μια δραματική εμπειρία. Η απλή, βασισμένη στην κονσόλα διαχείρισης και αναζήτησης, θα πρέπει να υποστηρίζει τις αναζητήσεις ενός απλού όρου καθώς επίσης και τις περίπλοκες αναζητήσεις – μια δυνατότητα που θα μπορεί ο οποιοσδήποτε διαχειριστής να χρησιμοποιήσει, ανεξάρτητα από τις τεχνικές γνώσεις του.
Οικονομία στον Χώρο αποθήκευσης
Σε εποχές όπου ο χώρος αποθήκευσης είναι δυσεύρετος λόγω των μεγάλων πληροφοριακών αναγκών, ένα σύστημα που μπορεί να εξοικονομεί χώρο παρ’ όλο το μεγάλο όγκο δεδομένων, αποτελεί ένα σοβαρό κριτήριο επιλογής. Επίσης, ένα ακόμα καλό στοιχείο θα ήταν η δυνατότητα υποστήριξης αποθήκευσης σε Storage Area Network (SAN).
Εξελιξιμότητα
Δεδομένου ότι μια τυπική επιχείρηση μπορεί να έχει πολλαπλά μηχανογραφικά κέντρα ή απομακρυσμένα συστήματα, μία αποτελεσματική λύση θα πρέπει να είναι σε θέση να συλλέξει τις καταγραφές σε αυτές τις θέσεις, καθώς επίσης και να παρέχει τοπική προσωρινή αποθήκευση μέχρι τη μεταφορά τους στο κεντρικό σύστημα διαχείρισης. Μία λύση που επιτρέπει να υλοποιηθούν πολλαπλά συστήματα διαχείρισης καταγραφών σε όλη την υποδομή, με διάφορους τρόπους διασύνδεσης, μας επιτρέπει να υλοποιήσουμε τη λύση σε σχέση με τις ανάγκες μας – και όχι το αντίθετο, δηλαδή με βάση τις απαιτήσεις λειτουργίας του προϊόντος.
Δυνατότητα συλλογής και επεξεργασίας καταγραφών, πέρα από τις συμβατές εφαρμογές/συστήματα
Η λύση θα πρέπει να προσφέρει τη δυνατότητα να ενσωματώσουμε καταγραφές, οι οποίες αφορούν σε εφαρμογές ή συστήματα που δεν είναι κοινότυπα. Είναι πολύ βασικός παράγοντας να ελεγχθούν σε βάθος οι συμβατότητες μιας SEM λύσης. Πολλές λύσεις υποστηρίζουν μόνο καταγραφές από προϊόντα της ίδιας εταιρείας.
Συμπεράσματα
Λαμβάνοντας υπόψη την ευρεία ποικιλία των σχημάτων των καταγραφών (logs) και το συνεχώς αυξανόμενο όγκο που παράγονται, οι επιχειρήσεις χρειάζονται μία υποδομή διαχείρισης η οποία να μπορεί να υποστηρίξει τη γρήγορη συλλογή των μεγάλων όγκων καταγραφών, αλλά και την ασφαλή αποθήκευση και διατήρησή τους, σύμφωνα με τα πρότυπα και τις διαδικασίες ασφάλειας. Οι συγκεντρωμένες πληροφορίες πρέπει επίσης να είναι προσιτές μέσω μιας επιφάνειας εργασίας, που να παρέχει λογικές πορείες στα μεγάλου όγκου αρχεία των καταγραφών. Επιπλέον, μία τέτοια υποδομή μπορεί να ενσωματωθεί σε ένα σύστημα διαχείρισης περιστατικών ασφάλειας, προκειμένου να προσφερθούν δυνατότητες ελέγχου σε πραγματικό χρόνο, καθώς επίσης και η έγκαιρη προειδοποίηση η οποία πιθανό να απαιτείται.
Σίγουρα όμως πριν από οποιαδήποτε απόφαση, η σωστή καταγραφή των αναγκών, η υλοποίηση ξεκάθαρων πολιτικών σχετικά με τη διαχείριση των καταγραφών, αλλά και ο σωστός σχεδιασμός, αποτελούν βασικά σημεία για μία σωστή επιλογή ενός συστήματος SEM.
Τέλος, προσωπικά θεωρώ ότι οι συγκεκριμένες λύσεις λόγω της ιδιαιτερότητάς τους θα πρέπει να δοκιμάζονται σε πραγματικό περιβάλλον. Ένα πιλοτικό έργο, που παρ’ όλο το κόστος του (αν υπάρχει), σίγουρα επιδεικνύει τις πραγματικές δυνατότητες τόσο του προϊόντος σε συνθήκες παραγωγής, όσο και της υλοποίησης.

Του Δημήτρη Δόριζα
Security Architect
MSc InfoSec