خلاصه:
در راستای بحث امنیت شبکه و در ادامه مطلب کنترل های حساس امنیتی به بررسی ششمین کنترل می پردازیم. نقص در تهیه و نگهداری لاگ ها باعث میشود تا مهاجمان بتوانند محل خود و نرم افزار های مخربی که برای کنترل از راه دور سیستم استفاده میکنند و همینطور فعالیت هایشان را مخفی کنند. حتی اگر قربانی از نفوذ به سیستمش آگاه باشد، بدون لاگ های مناسب مانند یک شخص نابینا بوده و نمیتواند آگاهی لازم از جزئیات و نحوه نفوذ و فعالیت های بعد از نفوذ توسط مهاجم را درک و کارهای لازم برای جلوگیری و قطع دسترسی را انجام دهد. بدون یک سیتم لاگ مناسب حملات به سیستم کشف نخواهند شد و نهایتا ممکن است صدمات و خسارات مربوطه برگشت ناپذیر باشند.
ابزار های زیادی برای مخفی کردن فعالیت های انجام شده روی سیستم قربانی وجود دارد. پس بهتر است مطمئن شویم لاگ ها به طور مناسبی ذخیره و پایش شده و توسط کسی از بین نخواهند رفت.
داستان یک نفوذ: LexisNexis
- از سال ۲۰۰۵ تا ۲۰۱۳ چندین نفوذ و استفاده از اطلاعات مشتریان گزارش شده
- در نتیجه بزرگترین نفوذ ای که در سال ۲۰۰۵ انجام شد ، نرم افزار پایش و تحلیل fraud (حیله،فریب! به نظرم بهتر هست بعضی چیز ها ترجمه نشند) از FTC تهیه شد.
- در آخرین نفوذ انجام شده در سال ۲۰۱۳، سرور های داخلی LexisNexis و برخی دیگر از شرکت های فعال در حوزه data mining توسط بات نت ها آلوده شدند.
- بد افزار (exe) برای ازتباط بین بات نت ها با C&C استفاده میشد.
مکانیزم های دفاعی:
- حداقل از ۲ منبع زمان (منظور همان NTP سرور است) برای پیکربندی زمان روی تجهیزات شبکه استفاده کنید تا مطمئن شوید زمان بین تمام آنها یکسان است.
- بررسی و تایید تنظیمات مربوط به ارسال لاگ روی تمام سخت افزار ها و نرم افزار های نصب شده روی آن همچنین مطمئن شوید لاگ ها اطلاعات مناسبی مانند:
- Timestamp
- source addresses
- destination addresses
- various other useful elements of each packet and/or transaction
در خود داشته باشند. سیستم باید لاگ ها را در فرمت استاندارد مانند syslog ارسال کند و اگر سیستم یا نرم افزاری قادر به ارسال لاگ های استاندارد نیست باید خودمان با استفاده از نرم افزار های جانبی این لاگ ها را به فرمت استاندارد در بیاوریم.
- مطمئن شوید سیستم هایی که لاگ را ذخیره میکنند به میزان کافی فضا برای ذخیره سازی لاگ ها داشته باشند. همچنین لاگ ها باید در زمان های مشخصی آرشیو شده و این آرشیو ها توسط certificate به صورت دیجیتالی امضاء شوند.
- پرسنل امنیتی باید دوهفته یک بار لاگ های مربوطه را پایش و مطمئن شوند چیز غیر عادی در آن وجود ندارد. در غیر اینصورت باید یافته های خود را مکتوب کنند.
- سیستم ها مرزی شبکه مانند firewall و IPS/IDS ها و پروکسی ها را طوری کانفیگ کنید که لاگ های کاملی را ارسال کنند(چه مجاز و چه غیر مجاز)
- یک SIEM (Security Information and Event Management) در سازمان پیاده سازی کنید تا کارهای گفته شده در بالا را بتوانید به راحتی انجام دهید. این ابزار ها با داشتن امکانات مناسب برای تجزیه تحلیل لاگ به شما در پیدا کردن اتفاقات غیر معمول کمک خواهند کرد. (راه اندازی مورد ۶ رسما مورد های بالا را تکمیل میکند، وگرنه بدون ابزار مناسب لاگ خوانی نه کار راحتی هست و نه امکان پذیر)
یک ابزار نمونه SIEM ها Splunk هست:
ابزار های تجاری برای پیاده سازی این کنترل ها:
— Splunk Enterprise
— OSSIM (Alienvault)
— Qradar (IBM)
— Enterprise Security Manager (Arcsight)
— Open Log Management (LogLogic)
— Event Data Warehouse (SenSage)
— SIEM Correlation Server (CorreLog)
— Event Correlation (Infogressive)
ابزار های رایگان و یا متن باز:
— Syslog-NG
— Log Parser (Microsoft)
— ELK / Logstash
— Enclave DAD/LASSIE
— Get-EventLog / Get-WinEvent