資安治理中Log的角色
過去提到資訊安全,大多會以技術防護的角度來看待,例如如何部署防護設備、資安監控及定期弱點掃描等項目。近幾年,已逐漸轉向管理層面,談的是更高的營運層面治理,例如從公司經營與財務的角度來談資訊安全,主管機關也開始要求將資訊安全政策納入公司治理評鑑項目,如要完成符合評鑑的規定,光靠資訊技術部門是無法完成的。因此在進行資安治理的改造過程中,需要組織由上而下來擬定策略,依照各層級分析出不同的風險,再將風險列管。除了每年安排教育訓練來瞭解或應變發生可能的危害,同時也要在公司年度或中長期計畫中,逐步解決這些風險議題。
當網路安全事件發生時,遭受攻擊的不一定是資訊單位負責的網路,有可能是各部門的系統,如依照平時的演練,搭配各部門間的分工合作,才能有效阻擋並快速復原。例如,發生資安危害時,負責網路的同仁在第一時間進行阻斷,後續負責鑑識調查的同仁,就需要知道何時?來源為何?及如何進行攻擊?想要瞭解事件發生的始末,需要有經驗的鑑識人員,查閱相關設備日誌,研判駭客如何進行攻擊,這時可穩定提供收集日誌、查詢及報表產製的功能就非常重要。
為了提供更好的日誌搜尋,在十幾年前,宏碁雲架構就自行研發日誌保存與稽核系統SAFE 3.0,除了提供公司鑑識同仁調查事件外,也提供客戶將大量來自不同設備的日誌,有系統整理成稽核顧問要看的報表,以通過相關的稽核要求。 日誌除了用在事件的分析與調查外,在輔助稽核作業也有助益。
日誌如何輔助稽核作業
以ISO27001資安管理系統主導稽核來說,SAFE3.0預設報表中包含「附錄A - 資訊安全控制目標與控制措施」的各項佐證資料,例如:「A.9 存取控制」的「A.9.2.1使用者註冊及註銷」,顧問需要看使用者帳號建立及刪除兩類;「A.9.2.6 存取權限移除或調整」,報表包含:帳號啟用、帳號停用、帳號群組變更及帳號權限變更等內容;「A.12.4.1 事件存錄」,報表包含:稽核政策變更、主機事件記錄服務已關閉、主機日誌刪除等內容。其他還包括:「A.12.4.3 管理者及操作者日誌」、「A.12.1.2 變更管理」等,均可透過日誌產生佐證資料,作為輔助稽核使用。
有效幫助鑑識人員提升作業效率
SAFE 3.0是一套專業級的事件日誌收集、保存、分析與稽核管理系統,具備系統彈性與可擴展的事件日誌管理解決方案。SAFE 3.0採用NoSQL運算的核心技術,提供關鍵字日誌記錄檢索功能與豐富的合規性報表,即時監控事件活動,加快歷史事件查詢與產製分析報表,協助事件鑑識人員提高運作效率。系統具備快速部署架構,且支援各大廠牌的網路安全設備日誌接收,節省系統導入時間。
SAFE3.0日誌保存與稽核系統在發展初期,僅能將系統安裝在單機上,為了能收集更大量的日誌,將收集的方式擴展為叢集架構,支援多台設備收集日誌,能在同一個介面查詢到各台主機的資料;為了能收集跨網域的設備日誌,發展前端收集器(Front-end Collector, 簡稱FC),採用分散式日誌收集架構,達成不同地點設備及雲端系統的日誌,都可送至SAFE3.0儲存。
在資料存取的效能上,SAFE 3.0將大量日誌分成熱資料、冷資料及離線資料,熱資料存放在記憶體中,可快速查詢及報表製作等。將設定天數之前的歷史資料存放在硬碟而不載入記憶體,如需查詢到此區間的資料再開啟索引載入記憶體中查詢,這樣可不需準備規格很高的硬體設備,也能有效查詢海量日誌的內容。如空間不足時,可將超過保存天數之前的歷史資料刪除,以維持系統運作正常。
在歷史日誌保存方面,將每日的資料進行壓縮加密,並使用SHA-256的安全雜湊演算法,紀錄每一個備份到外部裝置的檔案HASH值,以確保檔案回存時,其內容是沒有被修改過的。除了可備份至外部的儲存裝置,如NAS或Storage外,更提供用戶將日誌備份至Azure雲端硬碟Blob的儲存體中,以解決NAS空間不足的問題。
日誌輔助觸發事件通知告警
在告警方面,除了觸發事件的通知外,亦可偵測設備是否於時間區間內正常發送日誌,如果SAFE 3.0沒有在時段內收到日誌,就會發送告警通知給管理者,用作設備監控的替代方案。除了郵件通知外,SAFE 3.0還支援將通知發到我們自行研發的流程管理系統 inspireOz,或是透過Syslog通知其他系統。如果客戶使用Line App,也可以將告警資訊送到 Line群組,該群組的人員都會收到這則通報的訊息。
高度相容便於串接的日誌系統
在與外部系統介接方便,SAFE 3.0可以轉拋日誌給其他系統,如SIEM或其他日誌產品。當日誌儲存在SAFE 3.0的No SQL索引區後,如要查詢可透過SAFE 3.0的 UI畫面進行查詢,亦可透過管理者的帳號/密碼,以 API的方式進行查詢,查詢的結果以JSON的格式回傳給API 呼叫的程式,提高日誌的開放性與相關應用。
SAFE 3.0專注在提升日誌保存的功能發展,更協助許多用戶取得或維護資安管理系統稽核。除此,也可協助客戶將其日誌資料,有系統的整理成PCI DSS、SOX、HIPAA、GDPR等認證輔助的報表或作為查詢,再將查詢結果匯出成.CSV檔,提供顧問參考使用,也讓企業導入日誌管理系統獲得最大效益。