בלוג

סדרת CISSP: ביקורת אבטחה Security Auditing

סדרת מאמרי סייבר מקצועיים

ביקורת אבטחה

ביקורת היא תהליך של בחינת מערכות ואו תהליכים עסקיים כדי להבטיח שהם מתוכננים ושמבצעים בהם שימוש כראוי.

הביקורת מבוצעת לעתים קרובות על ידי צד שלישי בלתי תלוי או כקבוצה אוטונומית בתוך הארגון.

פעולה זו מסייעת להבטיח כי תוצאות הביקורת מדויקות ואינן מוטות עקב פוליטיקה ארגונית או בנסיבות אחרות.

הביקורת מבוצעת בתדירות גבוהה בכדי להבטיח כי הארגון עומד במדיניות עסקית, אבטחת מידע ודרישות אחרות אליהם העסק עשוי להיות כפוף. מדיניות זו יכולה לכלול רגולציות, חוקי ממשל ותקנות, חוזים משפטיים ו – Best Practices.

מערכות עיסקיות קריטיות צריכות להיות כפופות לביקורת קבועה כפי שמכתיבה הדרישה הרגולטורית או החוזית.

שבילי ביקורת | לוגים (Audit Trails)

שבילי הביקורת הן רשומות עזר הנוצרות עם עסקאות ואירועים אחרים.

ישנן סיבות רבות מדוע יש להשתמש בהן, הנה כמה:

  • אכיפת אחריות: עובדים נוטים להיות יותר אחראים על מעשיהם כשהם יודעים שישנם ביקורות אשר לוכדות הפעולות שלהם.

  • חקירה: חוקרים שצריכים להתחקות אחר מעשיו של עובד יכולים להסתמך על שבילי ביקורת המציגות את הפעילויות שאותו עובד ביצע.

  • שחזור אירוע: ייתכן ולעיתים אנליסטים יידרשו להבין את האירוע על ידי ביצוע שחזור לתהליך, וללא שבילי ביקורת, שחזור אירוע יהיה חסר תועלת.

  • זיהוי בעיות: שבילי ביקורת יכולים לעזור לאנליסט או מהנדס לזהות ולתקן את בעיות שונות במערכת או בתהליך.

המרכיבים העיקריים של שבילי ביקורת הינם:

  • תאריך ושעה: תיעוד תאריך ושעת האירוע.
  • גורם: מי העובד המבצע.
  • מקור: המיקוםעמדה שדרכו בוצע האירוע.
  • פרטים נוספים: פרטים נלווים כגון השינוי שבוצע לעומת מה שקדם לו.

סוגי שבילי ביקורת

שבילי ביקורת (הידוע גם בשם יומני ביקורת או סתם לוגים) באים בכמה צורות וגדלים שונים.

הם יכולים לכלול קבצי לוג עצומים ובפורמטים מסויימים, כגון לוגי מערכת ו – syslog, רשומות התחברות למערכות, יומני מעקב רשת ולוגים ממערכות שונות.

שבילי ביקורת חסרי תכונה חשובה אחת: עקביות הפורמט.

נראה כאילו כל מי שאי פעם כתב תכנית שיוצרת לוג זחל לתוך מערה והמציא שם פורמט לוג ייחודי משלו.

ניהול אירועים

אז מה עושים כשקופצות התראות מהמערכת?

  • בדוק אם ההתראה אכן מעידה על אירוע אמיתי או False-Positive.
    אם האירוע הוא False-Positive, יש ליצור החרגה במערכת ולתעד את אופי האירוע. אם ההתראה הינה אמיתית יש לפעול לפי התכתיבים והנהלים לטיפול מיידי באירוע.
  • בצע ניתוח שורש. הלוגים משמשים כדי לפתור בעיות ולשחזר אירועים, וביצוע ניתוח הינו אידיאלי במצב הזה.
    הניתוח אמור להוביל לטיפול בבעיה – ובסופו של דבר, את היכולת למנוע אותה בעתיד.

שמירת לוגים

מנהלים רבים שוכחים לקחת בחשבון את נפחי הלוגים שמגיעים לגדלים גבוהים מאד, לוגים מיוצרים מדי יום על מערכות רבות, והם מגלים זאת ברגע ששטח הדיסק עומד להגמר וברוב המקרים, קבצי הלוגים שאנו זקוקים להם לצרכי אנליזה ומחקר מוחלפים על ידי קבצי לוג חדשים (Log Rotation).

בתעשיות רבות, שימור לוגים ופעולות בסופו של דבר הופך להיות סוגיה משפטית (כגון חוקי ממשל ורגולציות), במיוחד עם יישומים.

לכן יש לברר כמה זמן נדרש לשמור את הלוגים, ולאחר מכן להבין מהי הדרך הנכונה לשמור אותם כראוי.

הגנת הלוגים

שלמות ומהימנות הלוגים הוא צורך חיוני, וזה עוד מצב שעלול להשאיר אתכם ערים בלילה.
הלוגים חייבים להיות מוגנים כנכד חבלה והתקפות אחרות היכולות למנוע רישום אירועים כראוי ובאופן אמין.
הבעיה היא שהלוגים הנם בדרך כלל קבצי נתונים במערכת ולכן גורם נחוש שרוצה לעשות צרות ואו למחוק את עקבותיו מחפש את קבצי הלוג במטרה לשנות ואף למחוק אותם.
ישנה אפשרות למנוע זאת באמצעות הקשחת הרשאות הגישה לקבצים אלו אך מדובר במשימה לא פשוטה כלל. ביצירתיות מסוימת, אפשר להשתמש בכמה טכניקות לוגים חושבים מאד, כגון לכתוב אותם ישירות לטייפ קלטות או להעביר אותם ישירות למערכתספריה ברשת.

רישום לוגים יכול להיות גם המקור של מתקפת מניעת שירות (DoS, DDoS). גורם זדוני פנימי או חיצוני שמעוניין לבצע פעולות לא חוקיות מודאג באופן טבעי מנושא רישום הלוגים.
ולכן, הוא יכול לשגר התקפת DoS על רישומי הלוג באמצעות הפעלת תוכנית המבצעת אלפי עסקאות או פעולות, ובאמצעות כך לנסות לגרום לחוסר בשטח דיסק פנוי.
במידה ואכן המתקפה הצליחה, מנגנון רישום הלוגים משתנק, ולאחר מכן הגורם יוכל לבצע את רצונו ללא התרעה על האירוע.

אודות: אורן יעקובי

אורן יעקובי, יועץ אבטחת מידע, בעל ניסיון מוכח מעל 14 שנה בניהול, הקמת מערכות מידע, תכנון ואינטגרציה של פרויקטים מורכבים בעולם אבטחת המידע ו – IT ומוחה בסביבות ענן.

Linkedin