Неперезаписываемый журнал событий: лайфхак для аудитора

Журналов много, и это файлы. Большого объема, в большом количестве. Они занимают очень много места, и память, отведенную под журналы, – будь то память СВТ или память СЗИ – время от времени освобождают. Все без исключения. При этом журналы обычно архивируют, записывают на какой-то носитель и куда-то убирают. В какой-то шкаф. И там они, конечно, штабелируются. Это первая причина, по которой журнал может оказаться недоступен в нужный момент.

Вторая причина – это повреждение файла журнала. С этим сталкивались большинство администраторов систем и большинство служб технической поддержки. Файл журнала может быть поврежден и из-за ошибок того устройства или приложения, которое регистрирует событие, но чаще случается так, что он повредился при хранении.

Журнал может стать недоступным из-за того, что кто-то его специально повредил. А может оставаться доступным, но "улучшенным". И необязательно действовал злоумышленник. Возможно, администратор просто "убрал лишнее", чтобы не засоряло. Ну или, конечно, чтобы что-то скрыть. Так или иначе, если нет возможности доказать, что журнал не изменен, то использовать его при "разборе полетов", конечно, можно, но!..

Не будем забывать, что журналы – это не просто файлы, это еще и разные файлы, не только создаваемые, но и читаемые (или, иначе, обрабатываемые) разными средствами, и выработать надо механизм для работы сразу со всеми.

Значит, логично перенести фокус с защиты файла на защиту его носителя.

Итак, нам потребуется носитель:

• удобный в хранении;
• совместимый со всеми или с большинством СВТ;
• не требующий от пользователя специальных навыков;
• способный обеспечить неизменность своего содержимого после того, как оно на него попало.

До сих пор этому набору требований в наибольшей степени соответствовал неперезаписываемый компакт-диск (CD-R). Однако недостатки этого "инструмента" не стоит даже перечислять, они очевидны.

При этом жизнь подсказывает еще ряд функциональных требований. Важно различение СВТ, чтобы журналы из разных систем не путались, иначе неудобно.

Важна ролевая структура, отвечающая задачам организации, – например, чтобы читать журналы мог только аудитор, а тот, кто настраивает носитель (администратор), и тот, кто записывает на него журналы (пользователь), – не могли. При этом аудитор не должен иметь возможности влиять на настройки или сам дописывать журналы. Или, по логике организационно-штатной структуры предприятия, он должен иметь возможность влиять на настройки, а может быть, наоборот не должен даже их видеть. Все это может быть задумано в каждой организации весьма индивидуально, и идеальное средство ведения журнала событий должно не ставить эксплуатирующую организацию перед выбором из 2–3 стандартных ролей, а позволять создавать роли с теми комплектами прав и функций, которые нужны для реализации политики безопасности организации.

Получается USB-накопитель Add Only, т.е. "только добавление", неперезаписываемый, чтобы данные нельзя было ни удалить, ни модифицировать умышленно или по ошибке, с управляемым доступом к памяти.

Все эти выкладки мы и положили в основу "Программно-аппаратного журнала" – неперезаписываемого хранилища на базе служебных носителей семейства "Секрет".

С тех компьютеров, которые в данном конкретном устройстве указаны как разрешенные, на ПАЖ копируются журналы событий из указанных при настройке источников (например, журналы Аккорда-АМДЗ или журналы из такой-то папки). Если ПАЖ случайно или специально подключить к другому СВТ – флешка не примонтируется.

При этом у ПАЖ есть собственный независимый журнал событий, в который записываются все действия с ним, включая все случаи подключений к различным СВТ (даже неуспешные), изменения настроек безопасности, ролей, списка разрешенных СТВ.

Роли пользователей ПАЖ создаются администратором путем формирования наборов прав на чтение целевых журналов или журналов ПАЖ, просмотра или изменения настроек безопасности, просмотра или изменения списка разрешенных компьютеров.

Средства аудита и мониторинга – в том числе и исключительно событий несанкционированного доступа – это, как правило, сложные аналитические системы. Они крайне важны. Однако на практике не менее важны простые инструменты, позволяющие значительно снизить сложность организационных мер и освободить человеко-время для более эффективного использования тех данных, что позволяют агрегировать сложные аналитические системы.