Blog, Whitepaper
De meest waardevolle bronnen voor het onderzoeken van securityincidenten zijn logfiles. Door logfiles op een centrale locatie te verzamelen en deze regelmatig op problemen te controleren, wordt een basis gelegd voor security monitoring en forensische incidentrespons. 4 Security voordelen van centralized logging op een rij.
Besturingssystemen en netwerkapparaten zijn in staat om een groot aantal verschillende logbestanden bij te houden voor activiteiten die er plaatsvinden. Denk hierbij bijvoorbeeld aan Windows event logs, Linux syslogs, access logs van webservers, anti-virus logs, authenticatielogs, firewall logs, netwerk logs en nog vele meer. Een gecentraliseerde oplossing voor het opslaan van deze logfiles verbetert drastisch de mogelijkheid om deze gegevens effectief te beheren, te onderzoeken en te beveiligen.
Het registreren van gebeurtenissen (via logging) is een kritieke veiligheidscontrole. Een aanval verloopt doorgaans via verschillende apparaten en laat daar mogelijk sporen achter. Bij het onderzoeken van security incidenten moeten daarom de gebeurtenissen van meerdere apparaten onderzocht worden om het pad van de aanvaller te achterhalen.
Aanvalsverkenning door het scannen van netwerkpoorten kan bijvoorbeeld een portscan-event op een firewall veroorzaken. De meeste aanvallers proberen hun privileges op een systeem uit te breiden. Deze activiteiten en de resulterende root/administrator activiteiten kunnen ook worden geregistreerd. De tijd en bron van een aanvaller die gestolen inloggegevens heeft gebruikt om in te loggen zijn terug te vinden in logfiles van authenticatieservices. Firewalls, inbraakdetectiesystemen, applicatieservers en andere gateway-apparaten kunnen ook kritieke informatie bevatten die helpt bij het opsporen van security incidenten.
Forensische analyse van security incidenten verloopt veel sneller als informatie erover van alle betrokken apparaten zich op één centrale locatie bevindt. Het correleren van verschillende events wordt hiermee aanzienlijk vereenvoudigd. Let er wel op dat de tijd en datum overal gelijk is.
Aanvallers proberen over het algemeen de logfiles op een gecompromitteerd apparaat te verwijderen of te wijzigen om hun sporen uit te wissen. Als men de gebeurtenissen op een apparaat wist, worden natuurlijk niet de gebeurtenissen gewist die al zijn doorgestuurd naar een gecentraliseerde logserver. Dit is een van de belangrijkste redenen waarom het centraliseren van logs zo cruciaal is voor respons op en onderzoek bij incidenten. Als er op een systeem wordt ingebroken, zal de aanvaller het veel moeilijker hebben om zijn sporen uit te wissen.
Verschillende security normen (waaronder NEN 7510) stellen ook eisen aan opslag en beveiliging van logfile informatie, waardoor het centraliseren hiervan in de praktijk eigenlijk vereist is.
Het zijn niet alleen hackers die je logfile data in gevaar kunnen brengen. In container-gebaseerde omgevingen of cloud platformen speelt namelijk soms nog iets anders. Data wordt daar namelijk vaak alleen in het geheugen opgeslagen en niet op disk. Als een container of server crasht, kunnen logfiles ontoegankelijk worden of helemaal verdwijnen, zoals het geval is bij de tijdelijke opslag van Docker of ephemeral cloud storage. Helaas is logfile data een belangrijk hulpmiddel om te kunnen achterhalen waarom een systeem of applicatie is vastgelopen. Het is dus cruciaal om in dergelijke gevallen toegang te hebben tot informatie uit die logbestanden.
Gecentraliseerd logfile beheer lost dit probleem op door alle gegevens onmiddellijk naar een centrale server te sturen, zodat er niets verloren gaat. En ook hier geldt dat het voor compliance aan verschillende normen vereist is evenals voor eisen aan dataretentie.
Problemen en fouten in productieomgevingen kunnen stressvol zijn. Elke seconde dat een dienst offline is of met verminderde capaciteit kost je bedrijf geld. Het diagnosticeren van systemen die uit tientallen of zelfs honderden componenten bestaan, levert enorme overhead op bij het handmatig oplossen van problemen. Voor centraal opgeslagen logs zijn verschillende applicaties en interfaces beschikbaar die je helpen om de oorzaak van problemen te achterhalen. Daarmee help je de continuïteit van de dienstverlening te waarborgen.
Van de vier genoemde punten hebben de laatste twee een grote overlap met de doelstellingen van het loggen van applicatie data. Op ons blog kan je hierover een ander artikel terugvinden: Fluentd voor betere applicatie logging
Het instellen van gecentraliseerde logfile informatie is een belangrijk onderdeel van je security programma en levert snel cruciale informatie op wanneer je deze het meest nodig hebt.
Let erop dat je niet alleen informatie van servers verzamelt, maar ook van netwerkcomponenten en andere onderdelen in je platform. Hoe completer het beeld is dat je daarmee kan krijgen van een aanval, hoe gerichter je zwakheden kan vinden, maatregelen kan nemen of achterhalen hoe een aanval zich heeft voltrokken.
Denk je dat jij ook gebaat bent bij een gecentraliseerde logging oplossing voor jouw platform? We wisselen graag met je van gedachten over hoe dit het beste voor jouw omgeving geïmplementeerd kan worden, of het nu een bestaande of een nieuwe omgeving betreft.
